Konfigurowanie bramy RAS sieci SDN w sieci szkieletowej programu VMM

W tym artykule opisano sposób konfigurowania bramy RAS programowalnej sieci komputerowej (SDN) w sieci szkieletowej programu System Center — Virtual Machine Manager (VMM).

Brama RAS sieci SDN jest elementem ścieżki danych w programowalnej sieci komputerowej umożliwiającym łączność między lokacjami (S2S) w dwóch autonomicznych systemach. W szczególności brama RAS umożliwia łączność typu lokacja-lokacja między zdalnymi sieciami dzierżawców a centrum danych przy użyciu protokołu IPSec, protokołu GRE (Generic Routing Encapsulation) lub przekazywania w warstwie 3. Dowiedz się więcej.

Uwaga

Program VMM 2022 zapewnia obsługę podwójnego stosu dla bramy RAS.

Przed rozpoczęciem

Przed rozpoczęciem należy upewnić się, że wykonano następujące czynności:

• Planowanie: zapoznaj się z planowaniem programowalnej sieci komputerowej i przejrzyj topologię planowania w tym dokumencie. Na diagramie przedstawiono przykładową konfigurację 4-węzłową. Konfiguracja jest wysoce dostępna z trzema węzłami kontrolera sieci (VM) i trzema węzłami SLB/MUX. Przedstawia dwóch dzierżawców z jednej sieci wirtualnej podzielonej na dwie podsieci wirtualne symulujące warstwę sieci Web i warstwę bazy danych. Zarówno infrastruktura, jak i maszyny wirtualne dzierżawcy mogą być redystrybuowane na dowolnym hoście fizycznym.
• Kontroler sieci: kontroler sieci należy wdrożyć przed wdrożeniem bramy RAS.
• SLB: w celu zapewnienia poprawnego obsługiwania zależności należy wdrożyć usługę SLB przed skonfigurowaniem bramy. Jeśli usługa SLB i brama zostały skonfigurowane, możesz ich użyć do zweryfikowania połączenia IPsec.
• Szablon usługi: program VMM używa szablonu usługi do automatycznego wdrożenia bramy. Szablony usługi obsługują wdrożenia z wieloma węzłami na maszynach wirtualnych 1. i 2. generacji.

Kroki wdrażania

Aby skonfigurować bramę RAS, wykonaj następujące czynności:

1. Pobieranie szablonu usługi: pobierz szablon usługi konieczny do wdrożenia bramy.

2. Tworzenie sieci logicznej adresów VIP: utwórz sieć logiczną adresów VIP protokołu GRE. Musi ona mieć pulę adresów IP dla prywatnych adresów VIP i przypisać adresy VIP do punktów końcowych GRE. Sieć istnieje w celu definiowania adresów VIP przypisanych do maszyn wirtualnych bramy działających w sieci szkieletowej SDN dla połączenia lokacja-lokacja protokołu GRE.

   Uwaga

   Aby włączyć obsługę podwójnego stosu, podczas tworzenia sieci logicznej adresów VIP protokołu GRE dodaj podsieć IPv6 do lokacji sieciowej i utwórz pulę adresów IPv6. (dotyczy roku 2022 i nowszych)

3. Importowanie szablonu usługi: pobierz i zaimportuj szablon usługi bramy RAS.

4. Wdrażanie bramy: wdróż wystąpienie usługi bramy, a następnie skonfiguruj jego właściwości.

5. Weryfikowanie wdrożenia: skonfiguruj połączenie lokacja-lokacja protokołu GRE, protokół IPSec lub L3 i sprawdź poprawność wdrożenia.

Pobieranie szablonu usługi

1. Pobierz folder SDN z repozytorium Microsoft SDN GitHub i skopiuj szablony z katalogu VMM>Templates>GW do ścieżki lokalnej na serwerze programu VMM.
2. Wyodrębnij zawartość do folderu na komputerze lokalnym. Zaimportujesz je później do biblioteki.

Pobierany zasób zawiera dwa szablony:

• Szablon EdgeServiceTemplate_Generation 1 VM.xml służy do wdrażania usługi bramy na maszynach wirtualnych 1. generacji.
• EdgeServiceTemplate_Generation 2 VM.xml służy do wdrażania usługi bramy na maszynach wirtualnych generacji 2.

Oba szablony mają domyślną liczbę trzech maszyn wirtualnych, które można zmienić w projektancie szablonów usługi.

Tworzenie sieci logicznej adresów VIP protokołu GRE

1. W konsoli programu VMM uruchom Kreatora tworzenia sieci logicznej. Wpisz nazwę, opcjonalnie podaj opis i wybierz przycisk Dalej.

2. W obszarze Ustawienia wybierz pozycję Połączona sieć, wybierz pozycję Zarządzana przez kontroler sieci, a następnie wybierz przycisk Dalej.

3. W obszarze Lokacja sieciowa określ ustawienia:

   Poniżej przedstawiono przykładowe wartości:

   • Nazwa sieci: GRE VIP
   • Podsieć: 31.30.30.0
   • Maska: 24
   • Identyfikator sieci VLAN na magistrali: Nie dotyczy
   • Brama: 31.30.30.1

4. Aby użyć protokołu IPv4, dodaj podsieć IPv4 do lokacji sieciowej i utwórz pulę adresów IPv4. Poniżej przedstawiono przykładowe wartości:

   • Nazwa sieci: GRE VIP
   • Podsieć:
   • Maska:
   • Identyfikator sieci VLAN na magistrali: Nie dotyczy
   • Brama:

5. Aby użyć protokołu IPv6, dodaj podsieci IPv4 i IPV6 do lokacji sieciowej i utwórz pulę adresów IPv6. Poniżej przedstawiono przykładowe wartości:

   • Nazwa sieci: GRE VIP
   • Podsieć: FD4A:293D:184F:382C::
   • Maska: 64
   • Identyfikator sieci VLAN na magistrali: Nie dotyczy
   • Brama: FD4A:293D:184F:382C::1

6. W obszarze Podsumowanie przejrzyj ustawienia i zakończ działanie kreatora.

Tworzenie puli adresów IP dla adresów VIP protokołu GRE

Uwaga

Pulę adresów IP można utworzyć za pomocą kreatora Tworzenie sieci logicznej .

1. Kliknij prawym przyciskiem myszy sieć > logiczną adresów VIP protokołu GRE Utwórz pulę adresów IP.
2. Wpisz nazwę oraz opcjonalny opis dla puli i sprawdź, czy została wybrana sieć adresów VIP. Wybierz opcję Dalej.
3. Zaakceptuj domyślną lokację sieciową i wybierz przycisk Dalej.

4. Jeśli utworzono podsieć IPv6, utwórz oddzielną pulę adresów VIP protokołu IPv6 GRE.
5. Wybierz początkowy i końcowy adres IP dla zakresu. Rozpocznij zakres od drugiego adresu dostępnej podsieci. Jeśli na przykład dostępna podsieć obejmuje adresy od .1 do .254, zacznij zakres od .2. W przypadku określania zakresu adresów VIP nie należy używać skróconej formy adresu IPv6; Użyj formatu 2001:db8:0:200:0:0:0:7 zamiast 2001:db8:0:200::7.
6. W polu Adresy IP zarezerwowane dla adresów VIP usługi równoważenia obciążenia wpisz zakres adresów IP należących do podsieci. Powinien on odpowiadać zakresowi, który jest używany dla początkowego i końcowego adresu IP.
7. Nie musisz podawać informacji o bramie, systemie DNS ani WINS, ponieważ ta pula jest używana do przydzielania adresów IP dla adresów VIP tylko za pośrednictwem kontrolera sieci. Wybierz przycisk Dalej , aby pominąć te ekrany.
8. W obszarze Podsumowanie przejrzyj ustawienia i zakończ działanie kreatora.

Importowanie szablonu usługi

1. Wybierzpozycję Importowanie szablonubiblioteki>.
2. Przejdź do folderu szablonu usługi. Na przykład wybierz plik 2.xmlgeneracji EdgeServiceTemplate .
3. Podczas importowania szablonu usługi należy zaktualizować parametry dla swojego środowiska.

Uwaga

Zasoby biblioteki zostały zaimportowane podczas wdrażania kontrolera sieci.

• WinServer.vhdx: wybierz obraz wirtualnego dysku twardego, który został przygotowany i zaimportowany wcześniej podczas wdrażania kontrolera sieci.
• EdgeDeployment.CR: dokonaj mapowania do zasobu biblioteki EdgeDeployment.cr w bibliotece programu VMM.

4. Na stronie Podsumowanie przejrzyj szczegóły i wybierz pozycję Importuj.

   Uwaga

   Szablon usługi można dostosować. Dowiedz się więcej.

Wdrażanie usługi bramy

Aby włączyć protokół IPv6, podczas dołączania do usługi bramy zaznacz pole wyboru Włącz protokół IPv6 i wybierz utworzoną wcześniej podsieć adresów VIP protokołu IPv6 GRE. Ponadto wybierz publiczną pulę IPv6 i podaj publiczny adres IPv6.

Ten przykład używa szablonu 2. generacji.

1. Wybierz szablon usługi EdgeServiceTemplate Generation2.xml , a następnie wybierz pozycję Konfiguruj wdrożenie.

2. Wpisz nazwę i wybierz miejsce docelowe dla wystąpienia usługi. Miejsce docelowe musi być mapowane na grupę hostów zawierającą hosty wcześniej skonfigurowane do celów wdrażania bramy.

3. W obszarze Ustawienia sieci dokonaj mapowania sieci zarządzania na sieć maszyny wirtualnej zarządzania.

   Uwaga

   Po zakończeniu mapowania zostanie wyświetlone okno dialogowe Wdrażanie usługi . Początkowy czerwony kolor wystąpień maszyny wirtualnej jest normalny. Wybierz pozycję Odśwież podgląd , aby automatycznie znaleźć odpowiednie hosty dla maszyny wirtualnej.

4. W lewej części okna Skonfiguruj wdrażanie skonfiguruj następujące ustawienia:

   • AdminAccount. Wymagane. Wybierz konto Uruchom jako, które będzie używane jako administrator lokalny na maszynach wirtualnych bramy.
   • Sieć zarządzania. Wymagane. Wybierz sieć zarządzania maszynami wirtualnymi utworzoną do zarządzania hostami.
   • Konto zarządzania. Wymagane. Wybierz konto Uruchom jako mające uprawnienia do dodawania bramy do domeny usługi Active Directory skojarzonej z kontrolerem sieci. Może to być to samo konto, które było używane dla konta MgmtDomainAccount podczas wdrażania kontrolera sieci.
   • Nazwa FQDN. Wymagane. Nazwa FQDN domeny usługi Active Directory dla bramy.

5. Wybierz pozycję Wdróż usługę , aby rozpocząć zadanie wdrażania usługi.

   Uwaga

   • Czas wdrażania będzie różnić się w zależności od sprzętu, ale zazwyczaj wyniesie od 30 do 60 minut. Jeśli wdrożenie bramy nie powiedzie się, usuń wystąpienie usługi, które zakończyło się niepowodzeniem,> przed ponowieniu próby wdrożenia.

   • Jeśli nie używasz dysku VHDX na licencji zbiorczej (lub klucz produktu nie został dostarczony za pomocą pliku odpowiedzi), wdrożenie zatrzyma się na stronie Klucz produktu podczas aprowizacji maszyny wirtualnej. Musisz ręcznie uzyskać dostęp do pulpitu maszyny wirtualnej i wprowadzić klucz lub pominąć go.

   • Jeśli chcesz skalować w poziomie wdrożone wystąpienie usługi SLB lub skalować je w poziomie, przeczytaj ten blog.

Limity bramy

Poniżej przedstawiono domyślne limity bramy zarządzanej przez kontroler sieci:

• MaxVMNetworksSupported= 50
• MaxVPNConnectionsPerVMNetwork= 10
• MaxVMSubnetsSupported= 550
• MaxVPNConnectionsSupported= 250

Uwaga

W przypadku sieci zwirtualizowanej SDNv2 dla każdej sieci maszyn wirtualnych jest tworzona wewnętrzna podsieć routingu. Limit MaxVMSubnetsSupported obejmuje wewnętrzne podsieci utworzone dla sieci maszyn wirtualnych.

Możesz zastąpić domyślne limity ustawione dla bramy zarządzanej przez kontroler sieci. Jednak zastąpienie limitu wyższą liczbą może mieć wpływ na wydajność kontrolera sieci.

Przesłanianie limitów bramy

Aby zastąpić domyślne limity, dołącz ciąg zastąpienia do usługi kontrolera sieci parametry połączenia i zaktualizuj w programie VMM.

• MaxVMNetworksSupported= oraz liczba sieci maszyn wirtualnych, których można używać z tą bramą.
• MaxVPNConnectionsPerVMNetwork= oraz liczba Connections sieci VPN, które można utworzyć dla sieci maszyn wirtualnych za pomocą tej bramy.
• MaxVMSubnetsSupported= oraz liczba podsieci sieci maszyn wirtualnych, które mogą być używane z tą bramą.
• MaxVPNConnectionsSupported= oraz liczba Connections sieci VPN, których można używać z tą bramą.

Przykład:

Aby zastąpić maksymalną liczbę sieci maszyn wirtualnych, które mogą być używane z bramą do 100, zaktualizuj parametry połączenia w następujący sposób:

serverurl=https://NCCluster.contoso.com;servicename=NC_VMM_RTM; MaxVMNetworksSupported==100

Konfigurowanie roli menedżera bramy

Po wdrożeniu usługi bramy można skonfigurować właściwości i skojarzyć je z usługą kontrolera sieci.

1. Wybierz pozycję Sieć szkieletowa>Usługa sieciowa , aby wyświetlić listę zainstalowanych usług sieciowych. Kliknij prawym przyciskiem myszy właściwości usługi > kontrolera sieci.

2. Wybierz kartę Usługi i wybierz rolę Menedżera bramy.

3. Znajdź pole Skojarzona usługa w obszarze Informacje o usłudze, a następnie wybierz pozycję Przeglądaj. Wybierz utworzone wcześniej wystąpienie usługi bramy i wybierz przycisk OK.

4. Wybierz konto Uruchom jako, które będzie używane przez kontroler sieci do uzyskiwania dostępu do maszyn wirtualnych bramy.

   Uwaga

   Konto Uruchom jako musi mieć uprawnienia administratora na maszynach wirtualnych bramy.

5. W polu Podsieć adresów VIP protokołu GRE wybierz wcześniej utworzoną podsieć adresów VIP.

6. Aby włączyć obsługę protokołu IPv4, w publicznej puli IPv4 wybierz pulę skonfigurowaną podczas wdrażania SLB. W obszarze Publiczny adres IPv4 podaj adres IP z poprzedniej puli i upewnij się, że nie jest to jeden z trzech początkowych adresów IP z zakresu.

7. Aby włączyć obsługę protokołu IPv6, wobszarze Usługiwłaściwości> kontrolera sieci zaznacz pole wyboru Włącz protokół IPv6, wybierz utworzoną wcześniej podsieć adresów VIP protokołu IPv6 i wprowadź odpowiednio publiczną pulę IPv6 i publiczny adres IPv6. Ponadto wybierz podsieć frontonu IPv6, która zostanie przypisana do maszyn wirtualnych bramy.

   

8. W obszarze Wydajność bramy skonfiguruj ustawienia wydajności.

   Pojemność bramy (Mb/s) oznacza normalną przepustowość portu TCP oczekiwaną od maszyny wirtualnej bramy. Należy ustawić ten parametr na podstawie szybkości używanej sieci bazowej.

   Przepustowość tunelu IPsec jest ograniczona do (3/20) pojemności bramy. Oznacza to, że jeśli pojemność bramy jest ustawiona na wartość 1000 Mb/s, równoważna pojemność tunelu IPsec będzie ograniczona do wartości 150 Mb/s.

   Uwaga

   Limit przepustowości to łączna wartość przepustowości ruchu przychodzącego i przepustowości wychodzącej.

   Równoważne współczynniki dla tuneli GRE i L3 to odpowiednio 1/5 i 1/2.

9. Skonfiguruj liczbę węzłów zarezerwowanych dla kopii zapasowej w obszarze Węzły dla pola zarezerwowanego dla awarii.

10. Aby skonfigurować poszczególne maszyny wirtualne bramy, wybierz każdą maszynę wirtualną i wybierz podsieć frontonu IPv4, określ lokalny numer ASN i opcjonalnie dodaj informacje o urządzeniu komunikacji równorzędnej dla elementu równorzędnego BGP.

Uwaga

Należy skonfigurować jednostki równorzędne protokołu BGP bramy, jeśli planujesz używać połączeń GRE.

Wdrożone wystąpienie usługi jest teraz skojarzone z rolą menedżera bramy. Powinna być pod nim widoczna lista wystąpień maszyny wirtualnej bramy.

Uwaga

Należy skonfigurować jednostki równorzędne protokołu BGP bramy, jeśli planujesz używać połączeń GRE.

Wdrożone wystąpienie usługi jest teraz skojarzone z rolą menedżera bramy. Powinna być pod nim widoczna lista wystąpień maszyny wirtualnej bramy.

Weryfikowanie wdrożenia

Po wdrożeniu bramy możesz skonfigurować typy połączeń S2S GRE, S2S IPSec lub L3 i je zweryfikować. Aby uzyskać więcej informacji, zobacz następującą zawartość:

• Tworzenie i weryfikowanie połączeń IPSec typu lokacja-lokacja
• Tworzenie i sprawdzanie poprawności połączeń lokacja-lokacja protokołu GRE
• Tworzenie i weryfikowanie połączeń L3

Aby uzyskać więcej informacji na temat typów połączeń, zobacz to.

Konfigurowanie selektora ruchu przy użyciu programu PowerShell

Poniżej przedstawiono procedurę konfigurowania selektora ruchu przy użyciu programu PowerShell programu VMM.

1. Utwórz selektor ruchu przy użyciu następujących parametrów.

   Uwaga

   Używane wartości są tylko przykładami.

   $t= new-object Microsoft.VirtualManager.Remoting.TrafficSelector
   
   $t.Type=7 // IPV4=7, IPV6=8
   
   $t.ProtocolId=6 // TCP =6, reference: https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers
   
   $t.PortEnd=5090
   
   $t.PortStart=5080
   
   $t.IpAddressStart=10.100.101.10
   
   $t.IpAddressEnd=10.100.101.100
   

2. Skonfiguruj powyższy selektor ruchu przy użyciu parametru -LocalTrafficSelectors polecenia Add-SCVPNConnection lub Set-SCVPNConnection.

Usuwanie bramy z sieci szkieletowej SDN

Aby usunąć bramę z sieci szkieletowej SDN, wykonaj te działania.