Udostępnij za pośrednictwem


Konfigurowanie kontrolera sieci SDN w sieci szkieletowej programu VMM

W tym artykule opisano sposób konfigurowania kontrolera sieci zdefiniowanej programowo (SDN) w sieci szkieletowej programu System Center Virtual Machine Manager (VMM).

Kontroler sieci SDN jest skalowalną i wysoce dostępną rolą serwera, która umożliwia automatyzowanie konfiguracji infrastruktury sieciowej zamiast ręcznej konfiguracji urządzenia sieciowego. Dowiedz się więcej.

Program VMM 2022 zapewnia obsługę podwójnego stosu dla kontrolera sieci SDN.

Aby zapoznać się z doskonałym wprowadzeniem, obejrzyj film wideo (~ pięć minut), który zawiera omówienie wdrożenia kontrolera sieci.

Uwaga

Uwaga

  • Program VMM 2022 obsługuje podwójny stos (Ipv4 + Ipv6) dla składników SDN.
  • Zobacz Wymagania systemowe, aby uzyskać pełną listę obsługiwanych systemów operacyjnych serwera.

Wymagania wstępne

• Planowanie sieci zdefiniowanej programowo (SDN). Dowiedz się więcej.

• Planowanie instalacji i wdrażania kontrolera sieci SDN. Dowiedz się więcej.

Przed rozpoczęciem

Aby skonfigurować sieć SDN w sieci szkieletowej programu VMM, potrzebne są następujące elementy:

  • Szablon usługi: program VMM używa szablonu usługi do automatyzowania wdrażania kontrolera sieci. Szablony usług dla kontrolera sieci obsługują wdrażanie wielu węzłów na maszynach wirtualnych generacji 1 i 2. generacji.
  • Wirtualny dysk twardy: szablon usługi wymaga przygotowanego wirtualnego dysku twardego zaimportowanego do biblioteki programu VMM. Ten wirtualny dysk twardy jest używany na potrzeby maszyn wirtualnych kontrolera sieci.
    • Wirtualny dysk twardy musi mieć zainstalowaną odpowiednią wersję systemu Windows Server z najnowszymi poprawkami.
    • Może być w formacie VHD lub VHDX.
  • Sieć logiczna zarządzania: modeluje łączność sieci zarządzania fizycznego dla hostów programu VMM, hostów kontrolera sieci i hostów maszyn wirtualnych dzierżawcy.
  • Przełącznik logiczny: aby zapewnić sieć logiczną zarządzania z łącznością z maszynami wirtualnymi kontrolera sieci.
  • Certyfikat SSL: aby uwierzytelnić komunikację między serwerem programu VMM a kontrolerem sieci.
  • Sieć logiczna dostawcy HNV i sieci maszyn wirtualnych dzierżawcy: aby zweryfikować wdrożenie kontrolera sieci.
  • Inne wymagania wstępne: Sprawdź inne wymagania.

Kroki wdrażania

Oto co należy zrobić, aby skonfigurować kontroler sieci SDN:

  1. Konfigurowanie hostów i infrastruktury sieci fizycznej: musisz mieć dostęp do fizycznych urządzeń sieciowych w celu skonfigurowania sieci VLAN, routingu i innych. Hosty funkcji Hyper-V są również potrzebne do hostowania infrastruktury SDN i maszyn wirtualnych dzierżawcy. Dowiedz się więcej.

  2. Przygotuj wirtualny dysk twardy: możesz przygotować wirtualny dysk twardy dla szablonu usługi kontrolera sieci w formacie VHD lub VHDX, zgodnie z potrzebami, dla wybranej generacji szablonu usługi.

  3. Pobierz szablony usług: pobierz szablony usług kontrolera sieci i zaimportuj je do biblioteki programu VMM.

  4. Konfigurowanie grup zabezpieczeń usługi Active Directory: potrzebna będzie grupa zabezpieczeń usługi Active Directory do zarządzania kontrolerem sieci oraz inna grupa zabezpieczeń dla klientów kontrolera sieci. Każda grupa będzie potrzebować co najmniej jednego konta użytkownika.

  5. Konfigurowanie udziału biblioteki programu VMM. Możesz mieć opcjonalny udział plików biblioteki na potrzeby przechowywania dzienników diagnostycznych. Do tego udziału biblioteki będzie uzyskiwany dostęp kontroler sieci w celu przechowywania informacji diagnostycznych przez cały okres jego istnienia.

  6. Skonfiguruj grupę hostów programu VMM: skonfiguruj dedykowaną grupę hostów dla wszystkich hostów funkcji Hyper-V sieci SDN.

    Uwaga

    Hosty muszą mieć zainstalowany odpowiedni system Windows Server z zainstalowanymi najnowszymi poprawkami i mieć włączoną rolę funkcji Hyper-V.

  7. Utwórz sieć logiczną zarządzania: utwórz sieć logiczną w celu dublowania łączności sieciowej zarządzania dla hosta programu VMM, hostów kontrolera sieci i hostów maszyn wirtualnych dzierżawcy. Jeśli chcesz przydzielić statyczne adresy IP z puli, utwórz pulę w tej sieci logicznej.

  8. Tworzenie i wdrażanie przełącznika logicznego zarządzania: należy utworzyć przełącznik logiczny i wdrożyć go na hostach kontrolera sieci w celu zapewnienia łączności z siecią zarządzania dla maszyn wirtualnych kontrolera sieci.

  9. Konfigurowanie certyfikatu: potrzebujesz certyfikatu SSL do bezpiecznej/https komunikacji z kontrolerem sieci.

  10. Zaimportuj szablon: zaimportuj i dostosuj szablon usługi kontrolera sieci.

  11. Wdróż usługę: wdróż usługę kontrolera sieci przy użyciu szablonu usługi. Następnie dodaj ją jako usługę programu VMM.

Przygotowywanie wirtualnego dysku twardego

  1. Przygotuj dysk VHD lub VHDX na podstawie typu szablonu, którego chcesz użyć.
  2. Po przygotowaniu dysku twardego zainstaluj najnowsze odpowiednie aktualizacje systemu Windows Server oraz wszelkie potrzebne pakiety językowe, jeśli masz środowisko inne niż angielski.
  3. Zaimportuj pliki VHD/VHDX do biblioteki programu VMM. Dowiedz się więcej.

Pobieranie szablonu usługi kontrolera sieci

  1. Pobierz folder SDN z repozytorium GitHub sieci SDN firmy Microsoft i skopiuj szablony z szablonów>programu VMM NC do ścieżki lokalnej na serwerze programu VMM.>

  2. Wyodrębnij zawartość do folderu na komputerze lokalnym.

  3. Odśwież bibliotekę, a następnie zaimportujesz szablony usług.

    Uwaga

    Pliki zasobów niestandardowych są używane podczas konfigurowania kontrolera sieci i innych składników sieci SDN (programowego modułu równoważenia obciążenia, bramy RAS).

    Folder NC zawiera cztery szablony usług i pięć folderów zasobów niestandardowych. Zostały one podsumowane w poniższej tabeli:

Szablony i pliki zasobów

Nazwa/nazwisko Type Szczegóły
VM.xml generacji produkcyjnej kontrolera sieci 1 Template Kontroler sieci z trzema węzłami dla maszyn wirtualnych generacji 1
VM.xml generacji produkcyjnej kontrolera sieci 2 Template Kontroler sieci z trzema węzłami dla maszyn wirtualnych generacji 2
Autonomiczny kontroler sieci generacji 1 VM.xml Template Kontroler sieci z jednym węzłem dla maszyn wirtualnych generacji 1
Autonomiczna generacja 2 kontrolera sieci VM.xml Template Kontroler sieci z jednym węzłem dla maszyn wirtualnych generacji 2
NcSetup.cr Plik zasobu niestandardowego Zasób biblioteki zawierający skrypty używane do konfigurowania sieci.
ServerCertificate.cr Plik zasobu niestandardowego Zasób biblioteki zawierający klucz prywatny kontrolera sieci w formacie pfx.
NcCertificate.cr Plik zasobu niestandardowego Zasób biblioteki zawierający zaufany certyfikat główny (. CER) dla kontrolera sieci. Jest to używane do bezpiecznej komunikacji między kontrolerem sieci i innymi podusługami (na przykład SLB MUXes).
TrustedRootCertificate.cr Plik zasobu niestandardowego Zasób biblioteki zawierający klucz publiczny urzędu certyfikacji (.cer) zaimportowany jako zaufany certyfikat główny w celu zweryfikowania certyfikatu SSL.
EdgeDeployment.cr Template Służy do instalowania ról I ról bramy SLB MUX (na przykład sieci VPN).

Konfigurowanie grup usługi Active Directory

Utwórz grupy zabezpieczeń na potrzeby zarządzania kontrolerem sieci i klientów.

  1. W Użytkownicy i komputery usługi Active Directory utwórz grupę zabezpieczeń do zarządzania kontrolerem sieci.

    • W grupie dodaj wszystkich użytkowników, którzy mają uprawnienia do konfigurowania kontrolera sieci. Na przykład utwórz grupę o nazwie Administratorzy kontrolera sieci.
    • Wszyscy użytkownicy dodani do tej grupy muszą być również członkami grupy Użytkownicy domeny w usłudze Active Directory.
    • Grupa zarządzania kontrolerem sieci musi być grupą lokalną domeny. Członkowie tej grupy będą mogli tworzyć, usuwać i aktualizować wdrożone konfiguracje kontrolera sieci.
    • Utwórz co najmniej jedno konto użytkownika, które jest członkiem tej grupy i ma dostęp do swoich poświadczeń. Po wdrożeniu kontrolera sieci program VMM można skonfigurować tak, aby używał poświadczeń konta użytkownika do nawiązywania komunikacji z kontrolerem sieci.
  2. Utwórz kolejną grupę zabezpieczeń dla klientów kontrolera sieci.

    • Dodaj użytkowników z uprawnieniami do konfigurowania sieci i zarządzania nimi przy użyciu kontrolera sieci. Na przykład utwórz grupę o nazwie Użytkownicy kontrolera sieci.
    • Wszyscy użytkownicy dodani do nowej grupy muszą być również członkami grupy Użytkownicy domeny w usłudze Active Directory.
    • Wszystkie konfiguracje i zarządzanie kontrolerem sieci są wykonywane przy użyciu usługi Representational State Transfer (DNS).
    • Grupa musi być grupą lokalną domeny. Po wdrożeniu kontrolera sieci wszyscy członkowie tej grupy będą mieli uprawnienia do komunikowania się z kontrolerem sieci za pośrednictwem interfejsu opartego na protokole REST.
    • Utwórz co najmniej jedno konto użytkownika, które jest członkiem tej grupy. Po wdrożeniu kontrolera sieci program VMM można skonfigurować tak, aby używał poświadczeń konta użytkownika do nawiązywania komunikacji z kontrolerem sieci.

Tworzenie udziału biblioteki na potrzeby rejestrowania

  1. Opcjonalnie utwórz udział plików w bibliotece programu VMM, aby zachować dzienniki diagnostyczne.
  2. Upewnij się, że dostęp do udziału można uzyskać za pomocą kontrolera sieci. Kontroler sieci uzyskuje dostęp do udziału w celu przechowywania informacji diagnostycznych. Zanotuj poświadczenia dla konta, które będzie mieć dostęp do zapisu do udziału.

Konfigurowanie grup hostów

  1. Utwórz dedykowaną grupę hostów dla hostów funkcji Hyper-V, które będą zarządzane przez sieć SDN.
  2. Upewnij się, że hosty funkcji Hyper-V korzystają z systemu Windows Server 2016 z zainstalowanymi najnowszymi poprawkami.

Tworzenie sieci logicznej zarządzania

Sieć logiczną zarządzania w programie VMM można utworzyć w celu dublowania sieci zarządzania fizycznego.

  • Sieć logiczna zapewnia ustawienia łączności sieciowej dla hosta programu VMM, hostów kontrolera sieci i hostów maszyn wirtualnych dzierżawcy.
  • Zalecamy utworzenie tej sieci logicznej w szczególności w celu zapewnienia łączności dla maszyn wirtualnych infrastruktury zarządzanych przez kontroler sieci.
  • Jeśli masz już sieć logiczną programu VMM skonfigurowaną przy użyciu polecenia Utwórz sieć maszyn wirtualnych o tej samej nazwie, aby umożliwić maszynom wirtualnym bezpośredni dostęp do tej sieci logicznej, możesz ponownie użyć tej sieci logicznej, aby zapewnić łączność zarządzania z kontrolerem sieci.

Aby utworzyć sieć logiczną zarządzania, wykonaj następującą procedurę:

  1. Wybierz pozycję Sieć szkieletowa>. Kliknij prawym przyciskiem myszy pozycję Sieci>logiczne Utwórz sieć logiczną.
  2. Określ nazwę i opcjonalny opis.
  1. W obszarze Ustawienia wybierz pozycję Jedna połączona sieć. Wszystkie sieci zarządzania muszą mieć routing i łączność między wszystkimi hostami w tej sieci. Wybierz pozycję Utwórz sieć maszyn wirtualnych o tej samej nazwie, aby umożliwić maszynom wirtualnym bezpośredni dostęp do tej sieci logicznej w celu automatycznego utworzenia sieci maszyn wirtualnych dla sieci zarządzania.
  1. W obszarze Ustawienia wybierz pozycję Jedna połączona sieć. Wszystkie sieci zarządzania muszą mieć routing i łączność między wszystkimi hostami w tej sieci. Wybierz pozycję Utwórz sieć maszyn wirtualnych o tej samej nazwie, aby umożliwić maszynom wirtualnym bezpośredni dostęp do tej sieci logicznej w celu automatycznego utworzenia sieci maszyn wirtualnych dla sieci zarządzania.

Uwaga

Z programu VMM 2019 UR1 jeden typ połączonej sieci jest zmieniany na Połączona sieć.

  1. Wybierz pozycję Dodaj lokację sieciową>. Wybierz grupę hostów dla hostów, które będą zarządzane przez kontroler sieci. Wstaw szczegóły podsieci IP sieci zarządzania. Ta sieć musi już istnieć i być skonfigurowana w przełączniku fizycznym.
  2. Przejrzyj informacje podsumowanie i wybierz pozycję Zakończ, aby zakończyć.

Tworzenie puli adresów IP

Uwaga

W programie VMM 2019 UR1 można utworzyć pulę adresów IP przy użyciu kreatora Tworzenia sieci logicznej.

Uwaga

Pulę adresów IP można utworzyć za pomocą Kreatora tworzenia sieci logicznej.

Jeśli chcesz przydzielić statyczne adresy IP do maszyn wirtualnych kontrolera sieci, utwórz pulę adresów IP w sieci logicznej zarządzania. Jeśli używasz protokołu DHCP, możesz pominąć ten krok.

  1. W konsoli programu VMM kliknij prawym przyciskiem myszy sieć logiczną zarządzania i wybierz pozycję Utwórz pulę adresów IP.

  2. Podaj nazwę i opcjonalny opis puli oraz upewnij się, że sieć zarządzania została wybrana dla sieci logicznej.

  3. W panelu Lokacja sieciowa wybierz podsieć, którą będzie obsługiwać ta pula adresów IP.

  4. W panelu Zakres adresów IP wprowadź początkowe i końcowe adresy IP.

  5. Aby użyć adresu IP jako adresu IP REST, wprowadź jeden z adresów IP z określonego zakresu w adresach IP, które mają być zarezerwowane dla innych zastosowań . Jeśli chcesz użyć punktu końcowego REST, pomiń ten krok.

    • Nie używaj pierwszych trzech adresów IP dostępnej podsieci. Jeśli na przykład dostępna podsieć ma wartość od .1 do .254, rozpocznij zakres od .4 lub nowszej.
    • Jeśli węzły znajdują się w tej samej podsieci, musisz podać adres IP REST. Jeśli węzły znajdują się w różnych podsieciach, musisz podać nazwę DNS REST.
  6. Określ domyślny adres bramy i opcjonalnie skonfiguruj ustawienia DNS i WINS.

  7. Na stronie Podsumowanie przejrzyj ustawienia i wybierz pozycję Zakończ, aby ukończyć pracę kreatora.

Tworzenie i wdrażanie przełącznika logicznego zarządzania

Należy wdrożyć przełącznik logiczny w sieci logicznej zarządzania. Przełącznik zapewnia łączność między siecią logiczną zarządzania a maszynami wirtualnymi kontrolera sieci.

  1. W konsoli programu VMM wybierz pozycję Sieć>szkieletowa>Utwórz przełącznik logiczny. Przejrzyj informacje wprowadzenie i wybierz pozycję Dalej.

  2. Podaj nazwę i opcjonalny opis. Wybierz pozycję Brak zespołu pasma. Jeśli potrzebujesz tworzenia zespołu, wybierz pozycję Osadzony zespół.

    Uwaga

    Nie używaj zespołu.

  3. W przypadku trybu przepustowości minimalnej wybierz opcję Waga .

  4. W obszarze Rozszerzenia wyczyść wszystkie rozszerzenia przełącznika. To jest ważne. Jeśli na tym etapie wybierzesz dowolne rozszerzenia przełącznika, może zablokować dołączanie kontrolera sieci później.

  5. Opcjonalnie możesz dodać profil portu wirtualnego i wybrać klasyfikację portów na potrzeby zarządzania hostami.

  6. Wybierz istniejący profil portu pasma lub wybierz pozycję Dodaj>nowy profil portu pasma. Podaj nazwę i opcjonalny opis. Użyj wartości domyślnych dla algorytmu równoważenia obciążenia i trybu tworzenia zespołu. Wybierz wszystkie lokacje sieciowe w sieci logicznej zarządzania.

  7. Wybierz pozycję Nowa karta sieciowa. Spowoduje to dodanie wirtualnej karty sieciowej hosta (vNIC) do profilu przełącznika logicznego i portu pasma, dzięki czemu po dodaniu przełącznika logicznego do hostów wirtualne karty sieciowe zostaną dodane automatycznie.

  8. Podaj nazwę wirtualnej karty sieciowej. Sprawdź, czy sieć maszyn wirtualnych zarządzania znajduje się na liście Łączność.

  9. Wybierz pozycję Ta karta sieciowa będzie używana do zarządzania hostami>Dziedzicz ustawienia połączenia z karty hosta. Dzięki temu można pobrać ustawienia karty sieciowej wirtualnej z karty sieciowej, która już istnieje na hoście. Jeśli wcześniej utworzono klasyfikację portów i profil portu wirtualnego, możesz go wybrać teraz.

  10. W obszarze Podsumowanie przejrzyj informacje i wybierz pozycję Zakończ , aby ukończyć pracę kreatora.

Wdrażanie przełącznika logicznego

Należy wdrożyć przełącznik logiczny zarządzania na wszystkich hostach, na których zamierzasz wdrożyć kontroler sieci. Te hosty muszą być częścią utworzonej wcześniej grupy hostów programu VMM. Dowiedz się więcej.

Konfigurowanie certyfikatów zabezpieczeń

Potrzebny jest certyfikat SSL, który będzie używany do bezpiecznej/https komunikacji z kontrolerem sieci. Można użyć następujących metod:

  • Certyfikat z podpisem własnym: możesz wygenerować certyfikat z podpisem własnym i wyeksportować go przy użyciu klucza prywatnego chronionego hasłem.
  • Certyfikat urzędu certyfikacji: możesz użyć certyfikatu podpisanego przez urząd certyfikacji.

Używanie certyfikatu z podpisem własnym

Poniższy przykład tworzy nowy certyfikat z podpisem własnym i musi zostać uruchomiony na serwerze programu VMM.

Uwaga

  • Jako nazwę DNS można użyć adresu IP, ale nie jest to zalecane, ponieważ ogranicza kontroler sieci do jednej podsieci.
  • Dla kontrolera sieci można użyć dowolnej przyjaznej nazwy.
  • W przypadku wdrożenia z wieloma węzłami nazwa DNS musi być nazwą REST, której chcesz użyć.
  • W przypadku wdrożenia z jednym węzłem nazwa DNS musi być nazwą kontrolera sieci, po którym następuje pełna nazwa domeny.
Wdrożenie Składnia Przykład
Wiele węzłów New-SelfSignedCertificate -KeyUsageProperty All -Provider "Microsoft Strong Cryptographic Provider" -FriendlyName "<YourNCComputerName>" -DnsName @("<NCRESTName>") New-SelfSignedCertificate -KeyUsageProperty All -Provider "Microsoft Strong Cryptographic Provider" -FriendlyName "MultiNodeNC" -DnsName @("NCCluster.Contoso.com")
Jeden węzeł New-SelfSignedCertificate -KeyUsageProperty All -Provider "Microsoft Strong Cryptographic Provider" -FriendlyName "<YourNCComputerName>" -DnsName @("<NCFQDN>") New-SelfSignedCertificate -KeyUsageProperty All -Provider "Microsoft Strong Cryptographic Provider" -FriendlyName "SingleNodeNC" -DnsName @("SingleNodeNC.Contoso.com")

Eksportowanie certyfikatu z podpisem własnym

Wyeksportuj certyfikat i jego klucz prywatny w formacie pfx.

  1. Otwórz przystawkę Certyfikaty (certlm.msc) i znajdź certyfikat w obszarze Osobiste/Certyfikaty.

  2. Wybierz certyfikat >Wszystkie zadania>eksportu.

  3. Wybierz pozycję Tak, wyeksportuj opcję klucza prywatnego, a następnie wybierz pozycję Dalej.

  4. Wybierz pozycję Wymiana informacji osobistych — PKCS #12 (. PFX) i zaakceptuj ustawienie domyślne, aby uwzględnić wszystkie certyfikaty w ścieżce certyfikacji, jeśli to możliwe.

  5. Przypisz użytkowników/grupy i hasło dla eksportowanego certyfikatu; wybierz pozycję Dalej.

  6. Na stronie Plik do wyeksportowania przejrzyj lokalizację, w której chcesz umieścić wyeksportowany plik, i nadaj mu nazwę.

  7. Podobnie wyeksportuj certyfikat w pliku . Format CER

    Uwaga

    Aby wyeksportować plik do programu . Format CER, usuń zaznaczenie opcji Tak, wyeksportuj klucz prywatny.

  8. Skopiuj element . Plik PFX do folderu ServerCertificate.cr.

  9. Skopiuj element . Plik CER do folderu NCCertificate.cr.

Po zakończeniu odśwież te foldery i upewnij się, że zostały skopiowane te certyfikaty.

Korzystanie z urzędu certyfikacji

  1. Zażądaj certyfikatu podpisanego przez urząd certyfikacji. W przypadku urzędu certyfikacji przedsiębiorstwa opartego na systemie Windows zażądaj certyfikatów przy użyciu Kreatora żądania certyfikatu.

  2. Upewnij się, że certyfikat zawiera EKU serverAuth określony przez identyfikator OID 1.3.6.1.5.5.7.3.1. Ponadto nazwa podmiotu certyfikatu musi być zgodna z nazwą DNS kontrolera sieci.

  3. Skopiuj element . Plik PFX do folderu ServerCertificate.cr.

  4. Skopiuj element . Plik CER do folderu NCCertificate.cr.

  5. Skopiuj klucz publiczny urzędu certyfikacji w pliku . Format CER na TrustedRootCertificate.cr.

    Uwaga

    Upewnij się, że urząd certyfikacji przedsiębiorstwa jest skonfigurowany do automatycznego rejestrowania certyfikatów.

Ulepszone użycie klucza

  1. Jeśli magazyn certyfikatów Osobisty (My – cert:\localmachine\my) na hoście funkcji Hyper-V ma więcej niż jeden certyfikat X.509 o nazwie podmiotu (CN) jako w pełni kwalifikowana nazwa domeny hosta (FQDN), upewnij się, że certyfikat używany przez SDN ma dodatkową niestandardową właściwość Rozszerzone użycie klucza z identyfikatorem OID 1.3.6.1.4.1.311.95.1.1.1. W przeciwnym razie komunikacja między kontrolerem sieci a hostem może nie działać.

  2. Upewnij się, że certyfikat wystawiony przez urząd certyfikacji dla komunikacji powiązanej z południem ma dodatkową niestandardową właściwość Rozszerzone użycie klucza z identyfikatorem OID 1.3.6.1.4.1.311.95.1.1.1.

Konfigurowanie szablonu usługi

Zaimportuj szablon i zaktualizuj parametry środowiska.

Importowanie szablonu

Zaimportuj szablon usługi do biblioteki programu VMM. W tym przykładzie zaimportujemy szablon generacji 2.

  1. Wybierz pozycję Importuj szablon biblioteki>.

  2. Przejdź do folderu szablonu usługi, wybierz plik VM.xml kontrolera sieci produkcyjnego 2. generacji.

  3. Zaktualizuj parametry środowiska podczas importowania szablonu usługi. Przejrzyj szczegóły, a następnie wybierz pozycję Importuj.

    • WinServer.vhdx Wybierz podstawowy obraz wirtualnego dysku twardego, który został przygotowany wcześniej.
    • NCSetup.cr: mapuj na zasób biblioteki NCSetup.cr w bibliotece programu VMM.
    • ServerCertificate.cr: mapuj na zasób ServerCertificate.cr w bibliotece programu VMM. Ponadto umieść wcześniej przygotowany certyfikat SSL pfx w tym folderze. Upewnij się, że masz tylko jeden certyfikat w folderze ServerCertificate.cr.
    • TrustedRootCertificate.cr: mapuj na folder TrustedRootCertificate.cr w bibliotece programu VMM. Jeśli nie potrzebujesz zaufanego certyfikatu głównego, ten zasób nadal musi zostać zamapowany na folder CR. Jednak folder musi pozostać pusty.
  4. Po zakończeniu upewnij się, że zadanie zostało ukończone.

Dostosowywanie szablonu

Szablon usługi można dostosować tak, aby spełniał wszelkie określone wymagania związane z organizacją, takie jak klucz produktu, przypisanie adresu IP, DHCP, fałszowanie adresów MAC i wysoka dostępność. Można również dostosować właściwości obiektów, takich jak grupy hostów, klastry hostów i wystąpienia usługi.

Oto przykładowe kroki wprowadzenia klucza produktu, włączenia protokołu DHCP i wysokiej dostępności:

  1. W bibliotece programu VMM wybierz szablon usługi i otwórz go w trybie projektanta.

  2. Kliknij dwukrotnie warstwę komputera, aby otworzyć stronę Właściwości kontrolera sieci systemu Windows Server.

  3. Aby określić klucz produktu, wybierz pozycję Klucz produktu konfiguracji>systemu operacyjnego i określ klucz współużytkowany przez ccEP.

  4. Aby włączyć wysoką dostępność, wybierz pozycję Dostępność konfiguracji>sprzętu, zaznacz pole wyboru Ustaw maszynę wirtualną o wysokiej dostępności.

  5. Aby włączyć dynamiczną konfigurację adresu IP i użyć protokołu DHCP do zarządzania kontrolerem sieci, wybierz kartę sieciową w projektancie i zmień typ adresu IPV4 na Dynamiczny.

    Uwaga

    • Jeśli dostosujesz szablon pod kątem wysokiej dostępności, upewnij się, że wdrożono go w węzłach klastrowanych.
    • Podczas konfigurowania kontrolera sieci i określania nazwy FQDN jako nazwy REST nie należy wstępnie tworzyć rekordu Host A dla podstawowego węzła NC w systemie DNS. Może to mieć wpływ na łączność kontrolera sieci po zmianie podstawowego węzła kontrolera sieci. Ma to zastosowanie, nawet jeśli wdrażasz kontroler sieci przy użyciu skryptu SDN Express lub VMM Express.

Wdrażanie kontrolera sieci

  1. Wybierz szablon >usługi kontrolera sieci Konfiguruj wdrożenie. Wprowadź nazwę usługi i wybierz miejsce docelowe dla wystąpienia usługi. Miejsce docelowe musi być mapowane na dedykowaną grupę hostów zawierającą hosty, które będą zarządzane przez kontroler sieci.

  2. Skonfiguruj ustawienia wdrożenia zgodnie z opisem w poniższej tabeli.

  3. Zazwyczaj wystąpienia maszyn wirtualnych są początkowo czerwone. Wybierz pozycję Odśwież w wersji zapoznawczej , aby usługa wdrażania automatycznie znalazła odpowiednie hosty dla maszyn wirtualnych do utworzenia.

  4. Po skonfigurowaniu tych ustawień wybierz pozycję Wdróż usługę , aby rozpocząć zadanie wdrażania usługi.

    Uwaga

    Czas wdrażania będzie się różnić w zależności od sprzętu, ale zazwyczaj wynosi od 30 do 60 minut. Jeśli nie używasz licencjonowanego zbiorczo dysku VHD\VHDX lub jeśli dysk VHD\VHDX nie dostarcza klucza produktu przy użyciu pliku odpowiedzi, wdrożenie zatrzymuje się na stronie Klucz produktu podczas aprowizacji maszyny wirtualnej kontrolera sieci. Musisz ręcznie uzyskać dostęp do pulpitu maszyny wirtualnej i pominąć lub wprowadzić klucz produktu.

  5. Jeśli wdrożenie kontrolera sieci zakończy się niepowodzeniem, usuń wystąpienie usługi, które zakończyło się niepowodzeniem, zanim ponowisz próbę wdrożenia kontrolera sieci. Wybierz pozycję Maszyny wirtualne i usługi Wszystkie usługi> hostów>i usuń wystąpienie.

Ustawienia wdrażania

Ustawienie Wymaganie Opis
ClientSecurityGroup Wymagania Nazwa utworzonej grupy zabezpieczeń zawierającej konta klienta kontrolera sieci.
DiagnosticLogShare Opcjonalnie Lokalizacja udziału plików, w której dzienniki diagnostyczne będą okresowo przekazywane. Jeśli nie zostanie to podane, dzienniki są przechowywane lokalnie w każdym węźle.
DiagnosticLogShareUsername Opcjonalnie Pełna nazwa użytkownika (w tym nazwa domeny) dla konta z uprawnieniami dostępu do udziału dziennika diagnostycznego. W formacie: [domena]\[nazwa_użytkownika].
DiagnosticLogSharePassword Opcjonalnie Hasło dla konta określonego w parametrze DiagnosticLogShareUsername.
Administrator lokalny Wymagania Wybierz konto Uruchom jako w środowisku, które będzie używane jako administrator lokalny na maszynach wirtualnych kontrolera sieci.

Uwaga: podczas tworzenia kont Uruchom jako usuń zaznaczenie opcji Weryfikuj poświadczenia domeny, jeśli tworzysz konto lokalne.

Nazwa użytkownika musi mieć wartość .\Administrator (utwórz ją, jeśli nie istnieje).
Zarządzanie Wymagania Wybierz utworzoną wcześniej sieć logiczną zarządzania.
MgmtDomainAccount Wymagania Wybierz konto Uruchom jako w środowisku, które będzie używane do przygotowania kontrolera sieci. Ten użytkownik musi być członkiem grupy zabezpieczeń zarządzania, określonej poniżej, która ma uprawnienia do zarządzania kontrolerem sieci.
MgmtDomainAccountName Wymagania Musi to być pełna nazwa użytkownika (w tym nazwa domeny) konta Uruchom jako mapowanego na konto MgmtDomainAccount.

Nazwa użytkownika domeny zostanie dodana do grupy Administratorzy podczas wdrażania.
MgmtDomainAccountPassword Wymagania Hasło do konta Uruchom jako zarządzania zamapowane na konto MgmtDomainAccount.
MgmtDomainFQDN Wymagania Nazwa FQDN domeny usługi Active Directory przyłączonej przez maszyny wirtualne kontrolera sieci.
MgmtSecurityGroup Wymagania Nazwa utworzonej wcześniej grupy zabezpieczeń zawierającej konta zarządzania kontrolerem sieci.
RestEndPoint Wymagania Wprowadź nazwę RESTName użytą podczas przygotowywania certyfikatów. Ten parametr nie jest używany dla szablonów autonomicznych.

Jeśli węzły znajdują się w tej samej podsieci, musisz podać adres IP REST. Jeśli węzły znajdują się w różnych podsieciach, podaj nazwę DNS REST.
ServerCertificatePassword Wymagania Hasło do zaimportowania certyfikatu do magazynu maszyn.

Uwaga

W systemie Windows Server 2019 maszyny kontrolera sieci muszą mieć uprawnienia do rejestrowania i modyfikowania nazwy SPN w usłudze Active Directory. Aby uzyskać więcej informacji, zobacz Kerberos with Service Principal Name (Kerberos z główną nazwą usługi).

Dodawanie usługi kontrolera sieci do programu VMM

Po pomyślnym wdrożeniu usługi kontrolera sieci następnym krokiem jest dodanie jej do programu VMM jako usługi sieciowej.

  1. W obszarze Sieć szkieletowa kliknij prawym przyciskiem myszy pozycję Usługa sieciowa>, a następnie wybierz pozycję Dodaj usługę sieciową.

  2. Zostanie uruchomiony Kreator dodawania usługi sieciowej. Określ nazwę i opcjonalny opis.

  3. Wybierz pozycję Microsoft dla producenta i dla modelu wybierz pozycję Kontroler sieci firmy Microsoft.

  4. W obszarze Poświadczenia podaj konto Uruchom jako, którego chcesz użyć do skonfigurowania usługi sieciowej. Musi to być to samo konto, które znajduje się w grupie klientów kontrolera sieci.

  5. Dla parametrów połączenia:

    • We wdrożeniu z wieloma węzłami serwerURL musi używać punktu końcowego REST, a nazwa usługi musi być nazwą wystąpienia kontrolera sieci.
    • We wdrożeniu z jednym węzłem serwerURL musi być nazwą FQDN kontrolera sieci, a nazwa usługi musi być nazwą wystąpienia usługi kontrolera sieci. Przykład: serverurl=https://NCCluster.contoso.com;servicename=NC_VMM_RTM
  6. W obszarze Przeglądanie certyfikatów następuje połączenie z maszyną wirtualną kontrolera sieci w celu pobrania certyfikatu. Sprawdź, czy wyświetlany certyfikat jest oczekiwany. Upewnij się, że wybrano pozycję Te certyfikaty zostały sprawdzone i można je zaimportować do pola zaufanych magazynów certyfikatów.

  7. Na następnym ekranie wybierz pozycję Dostawca skanowania, aby nawiązać połączenie z usługą i wyświetlić listę właściwości i ich stan. Jest to również dobry test tego, czy usługa została utworzona poprawnie, i że używasz odpowiednich parametrów połączenia w celu nawiązania z nim połączenia. Sprawdź wyniki i sprawdź, czy isNetworkController = true. Po pomyślnym zakończeniu wybierz przycisk Dalej.

  8. Skonfiguruj grupę hostów, którą będzie zarządzać kontroler sieci.

  9. Wybierz przycisk Zakończ , aby ukończyć pracę kreatora. Po dodaniu usługi do programu VMM zostanie ona wyświetlona na liście Usługi sieciowe w konsoli programu VMM. Jeśli usługa sieciowa nie zostanie dodana, sprawdź zadania w konsoli programu VMM, aby rozwiązać problemy.

Weryfikowanie wdrożenia

Opcjonalnie można zweryfikować wdrożenie kontrolera sieci. Czynność:

  1. Utwórz sieć dostawcy HNV (sieć zaplecza), zarządzaną przez kontroler sieci na potrzeby łączności maszyny wirtualnej dzierżawcy. Ta sieć służy do sprawdzania, czy kontroler sieci został pomyślnie wdrożony, a maszyny wirtualne dzierżawcy w tej samej sieci wirtualnej mogą wysyłać polecenia ping do siebie. Ta sieć musi istnieć w infrastrukturze sieci fizycznej, a wszystkie hosty sieci szkieletowej SDN muszą mieć z nią fizyczną łączność.
  2. Po utworzeniu sieci dostawcy HNV należy skonfigurować dwie sieci maszyn wirtualnych dzierżawy na jej podstawie. Utwórz sieci maszyn wirtualnych i pule adresów IP, a następnie wdróż maszyny wirtualne dzierżawy. Możesz również przetestować łączność między dwiema maszynami wirtualnymi dzierżawy wdrożonym na różnych hostach, aby upewnić się, że kontroler sieci został prawidłowo wdrożony.

Tworzenie sieci dostawcy HNV

  1. Uruchom Kreatora tworzenia sieci logicznej. Wprowadź nazwę i opcjonalny opis dla tej sieci.
  1. W obszarze Ustawienia sprawdź, czy wybrano opcję Jedna połączona sieć , ponieważ wszystkie sieci dostawcy HNV muszą mieć routing i łączność między wszystkimi hostami w tej sieci. Upewnij się, że zaznaczysz opcję Zezwalaj nowym sieciom maszyn wirtualnych utworzonym w tej sieci logicznej na korzystanie z wirtualizacji sieci. Ponadto sprawdź pozycję Zarządzane przez kontroler sieci.
  1. W obszarze Ustawienia sprawdź, czy wybrano opcję Jedna połączona sieć , ponieważ wszystkie sieci dostawcy HNV muszą mieć routing i łączność między wszystkimi hostami w tej sieci. Upewnij się, że zaznaczysz opcję Zezwalaj nowym sieciom maszyn wirtualnych utworzonym w tej sieci logicznej na korzystanie z wirtualizacji sieci. Ponadto sprawdź pozycję Zarządzane przez kontroler sieci.

    Zrzut ekranu przedstawiający sieć HNV.

    Uwaga

    Z programu VMM 2019 UR1 jeden typ połączonej sieci jest zmieniany na Połączona sieć.

  1. W obszarze Ustawienia sprawdź, czy wybrano opcję Połączona sieć , ponieważ wszystkie sieci dostawcy HNV muszą mieć routing i łączność między wszystkimi hostami w tej sieci. Upewnij się, że zaznaczysz opcję Zezwalaj nowym sieciom maszyn wirtualnych utworzonym w tej sieci logicznej na korzystanie z wirtualizacji sieci. Ponadto sprawdź pozycję Zarządzane przez kontroler sieci.

    Zrzut ekranu przedstawiający sieć HNV.

  1. W obszarze Lokacja sieciowa dodaj informacje o lokacji sieciowej dla sieci dostawcy HNV. Musi to obejmować informacje o grupie hostów, podsieci i sieci VLAN dla sieci.
  2. Przejrzyj informacje o podsumowaniu i ukończ pracę kreatora.

Tworzenie puli adresów IP

Uwaga

W programie VMM 2019 UR1 można utworzyć pulę adresów IP przy użyciu kreatora Tworzenia sieci logicznej.

Uwaga

Pulę adresów IP można utworzyć za pomocą Kreatora tworzenia sieci logicznej.

Konfiguracja sieci logicznej HNV wymaga puli adresów IP, nawet jeśli protokół DHCP jest dostępny w tej sieci. Jeśli masz więcej niż jedną podsieć w konfiguracji sieci HNV, utwórz pulę dla każdej podsieci.

  1. Kliknij prawym przyciskiem myszy konfigurowanie sieci >logicznej HNV Utwórz pulę adresów IP.
  2. Podaj nazwę i opcjonalny opis oraz upewnij się, że dla sieci logicznej dostawcy HNV wybrano sieć logiczną.
  1. W obszarze Lokacja sieciowa należy wybrać podsieć, która będzie obsługiwać tę pulę adresów IP. Jeśli masz więcej niż jedną podsieć w ramach sieci dostawcy HNV, musisz utworzyć pulę statycznych adresów IP dla każdej podsieci. Jeśli masz tylko jedną witrynę (np. przykładową topologię), możesz wybrać pozycję Dalej.
  1. W obszarze Lokacja sieciowa należy wybrać podsieć, która będzie obsługiwać tę pulę adresów IP. Jeśli masz więcej niż jedną podsieć w ramach sieci dostawcy HNV, musisz utworzyć pulę statycznych adresów IP dla każdej podsieci. Jeśli masz tylko jedną witrynę (np. przykładową topologię), możesz wybrać pozycję Dalej.

Uwaga

Aby włączyć obsługę protokołu IPv6, dodaj podsieć IPv6 i utwórz pulę adresów IPv6.

Uwaga

  • Aby włączyć obsługę protokołu IPv6, dodaj podsieć IPv6 i utwórz pulę adresów IPv6.
  • Aby włączyć obsługę protokołu IPv4, dodaj podsieć IPv4 i utwórz pulę adresów IPv4.
  • Aby użyć przestrzeni adresowej IPv6, dodaj do lokacji sieciowej podsieci IPv4 i IPv6.
  • Aby włączyć obsługę podwójnego stosu, utwórz pule adresów IP z przestrzenią adresową IPv4 i IPv6.
  1. W polu Zakres adresów IP skonfiguruj początkowy i końcowy adres IP. Nie używaj pierwszego adresu IP dostępnej podsieci. Jeśli na przykład dostępna podsieć ma wartość od .1 do .254, rozpocznij zakres od .2 lub nowszej.

  2. Następnie skonfiguruj domyślny adres bramy. Wybierz pozycję Wstaw obok pola Bramy domyślne, wprowadź adres i użyj domyślnej metryki. Opcjonalnie skonfiguruj usługi DNS i WINS.

  3. Przejrzyj informacje podsumowania i wybierz pozycję Zakończ , aby ukończyć pracę kreatora.

  4. W ramach dołączania kontrolera sieci przełącznik wdrożony na hostach dla łączności logicznej zarządzania siecią został przekonwertowany na przełącznik SDN. Ten przełącznik może teraz służyć do wdrażania sieci zarządzanej przez kontroler sieci, w tym sieci logicznej dostawcy HNV. Upewnij się, że wybrano lokację sieciową odpowiadającą sieci logicznej dostawcy HNV w ustawieniach profilu portu pasma przełącznika logicznego zarządzania.

    Zrzut ekranu przedstawiający port pasma.

Sieć logiczna dostawcy HNV jest teraz dostępna dla wszystkich hostów w grupie hostów zarządzanych przez kontroler sieci.

Tworzenie sieci maszyn wirtualnych dzierżawy i pul adresów IP

Teraz utwórz dwie sieci maszyn wirtualnych i pule adresów IP dla dwóch dzierżaw w infrastrukturze SDN, aby przetestować łączność.

Uwaga

  • Nie używaj pierwszego adresu IP dostępnej podsieci. Jeśli na przykład dostępna podsieć ma wartość od .1 do .254, rozpocznij zakres od .2 lub nowszej.
  • Obecnie nie można utworzyć sieci maszyny wirtualnej bez izolacji dla sieci logicznych zarządzanych przez kontroler sieci. Należy wybrać opcję Izoluj przy użyciu wirtualizacji sieci funkcji Hyper-V podczas tworzenia sieci maszyn wirtualnych skojarzonych z sieciami logicznymi dostawcy HNV.
  • Ponieważ kontroler sieci nie został jeszcze przetestowany przy użyciu protokołu IPv6, użyj protokołu IPv4 zarówno dla sieci logicznej, jak i sieci maszyn wirtualnych podczas tworzenia sieci maszyn wirtualnych.
  1. Utwórz sieć maszyn wirtualnych dla każdej dzierżawy.

  2. Utwórz pulę adresów IP dla każdej sieci maszyn wirtualnych.

Uwaga

Po utworzeniu sieci maszyn wirtualnych, aby włączyć obsługę protokołu IPv6, wybierz pozycję IPv6 z protokołu adresu IP dla menu rozwijanego sieć maszyn wirtualnych. Podczas tworzenia sieci maszyn wirtualnych, aby włączyć obsługę podwójnego stosu, wybierz pozycję IPv4 i IPv6 z protokołu adresu IP dla menu rozwijanego sieć maszyny wirtualnej (dotyczy wersji 2022 i nowszych).

Zrzut ekranu przedstawiający włączanie podwójnego stosu.

Podczas tworzenia podsieci maszyn wirtualnych, aby włączyć obsługę podwójnego stosu, podaj podsieć IPv4 i podsieć IPv6 oddzieloną średnikiem (;). (dotyczy lat 2022 i nowszych)

Zrzut ekranu przedstawiający podsieci maszyn wirtualnych.

Tworzenie maszyn wirtualnych dzierżawy

Teraz możesz utworzyć maszyny wirtualne dzierżawy połączone z siecią wirtualną dzierżawy.

  • Upewnij się, że maszyny wirtualne dzierżawy zezwalają na protokół IPv4 ICMP przez zaporę. Domyślnie system Windows Server blokuje to.
  • Aby zezwolić na protokół IPv4 ICMP za pośrednictwem zapory, uruchom polecenie New-NetFirewallRule –DisplayName "Allow ICMPv4-In" –Protocol ICMPv4.
  • Upewnij się, że maszyny wirtualne dzierżawy zezwalają na protokół IPv4/IPv6 ICMP przez zaporę. Domyślnie system Windows Server blokuje to.
    • Aby zezwolić na protokół IPv4 ICMP za pośrednictwem zapory, uruchom polecenie New-NetFirewallRule –DisplayName "Allow ICMPv4-In" –Protocol ICMPv4.
    • Aby zezwolić na protokół IPv6 ICMP za pośrednictwem zapory, uruchom polecenie New-NetFirewallRule –DisplayName "Allow ICMPv6-In" –Protocol ICMPv6

Uwaga

Protokół IPv6 ICMP ma zastosowanie do wersji 2019 UR2 i nowszych.

  1. Jeśli chcesz utworzyć maszynę wirtualną na podstawie istniejącego dysku twardego, postępuj zgodnie z tymi instrukcjami.
  2. Po wdrożeniu co najmniej dwóch maszyn wirtualnych połączonych z siecią można wysłać polecenie ping do jednej maszyny wirtualnej dzierżawy z innej maszyny wirtualnej dzierżawy, aby sprawdzić, czy kontroler sieci został pomyślnie wdrożony jako usługa sieciowa, oraz że może zarządzać siecią dostawcy HNV, aby maszyny wirtualne dzierżawcy mogły wysyłać polecenia ping do siebie.

Uwaga

Aby włączyć obsługę podwójnego stosu, w przypadku sieci maszyn wirtualnych utwórz dwie pule adresów IP, wybierając dwie podsieci IP z menu rozwijanego.

Zrzut ekranu przedstawiający tworzenie statycznego adresu IP.

Utwórz nową maszynę wirtualną i wdróż sieć maszyn wirtualnych z podwójnym stosem w celu przypisania adresu IPv4 i IPv6 do maszyny wirtualnej.

Usuwanie kontrolera sieci z sieci szkieletowej SDN

Wykonaj następujące kroki , aby usunąć kontroler sieci z sieci szkieletowej SDN.

Następne kroki

Tworzenie programowego modułu równoważenia obciążenia