Configurar um gateway SDN RAS na malha do VMM

Este artigo descreve como configurar um gateway RAS SDN (rede definida pelo software) na malha do System Center – VMM (Virtual Machine Manager).

Um gateway SDN RAS é um elemento de caminho de dados no SDN que permite a conectividade site a site entre dois sistemas autônomos. Especificamente, um gateway RAS permite a conectividade site a site entre redes de locatário remoto e seu datacenter usando IPSec, GRE (Encapsulamento de Roteamento Genérico) ou Encaminhamento de Camada 3. Saiba mais.

Observação

O VMM 2022 fornece suporte de pilha dupla para o gateway RAS.

Antes de começar

Antes de começar, certifique-se do seguinte:

• Planejamento: leia sobre planejar uma rede definida de software e examine a topologia de planejamento neste documento. O diagrama mostra um exemplo de configuração de 4 nós. A configuração está altamente disponível com três nós de controlador de rede (VM) e três nós SLB/MUX. Ele mostra dois locatários com uma rede virtual dividida em duas sub-redes virtuais para simular uma camada da Web e uma camada de banco de dados. Tanto as máquinas virtuais de locatários quanto a infraestrutura podem ser redistribuídas em qualquer host físico.
• Controlador de rede: você deve implantar o controlador de rede antes de implantar o gateway RAS.
• SLB: para garantir o tratamento correto das dependências, implante também o SLB antes de configurar o gateway. Se um SLB e um gateway estiverem configurados, você poderá usar e validar uma conexão IPsec.
• Modelo de serviço: o VMM usa um modelo de serviço para automatizar a implantação do GW. Modelos de serviço dão suporte à implantação de vários nós em VMs de geração 1 e geração 2.

Etapas de implantação.

Para configurar um gateway RAS, faça o seguinte:

1. Baixe o modelo de serviço: baixe o modelo de serviço em que você precisa para implantar o GW.

2. Crie a rede lógica VIP: crie uma rede lógica GRE VIP. Ele precisa de um pool de endereços IP para VIPs privados e atribuir VIPs a pontos de extremidade GRE. A rede existe para definir VIPs atribuídos às VMs de gateway em execução na malha SDN para uma conexão GRE site a site.

   Observação

   Para habilitar o suporte de pilha dupla, ao criar a rede lógica VIP GRE, adicione a sub-rede IPv6 ao site de rede e crie o pool de endereços IPv6. (aplicável para o 2022 e posterior)

3. Importe o modelo de serviço: importe o modelo de serviço de gateway RAS.

4. Implantar o gateway: implante uma instância do serviço de gateway e configure suas propriedades.

5. Validar a implantação: configure o GRE site a site, IPsec ou L3 e valide a implantação.

Baixar o modelo de serviço

1. Baixar a pasta SDN do repositório GitHub Microsoft SDN e copie os modelos de VMMModelosGW para um caminho local no servidor do VMM.
2. Extraia os conteúdos para uma pasta em um computador local. Você vai importá-los para a biblioteca mais tarde.

O download contém dois modelos:

• O modelo EdgeServiceTemplate_Generation 1 VM.xml serve para implantar o serviço de gateway em máquinas virtuais de geração 1.
• A VM.xml do EdgeServiceTemplate_Generation 2 destina-se à implantação do Serviço GW em máquinas virtuais de geração 2.

Ambos os modelos têm uma contagem padrão de três máquinas virtuais, que podem ser alteradas no designer de modelo de serviço.

Criar a rede lógica VIP do GRE

1. No console do VMM, execute o Assistente para Criar Rede Lógica. Digite um Nome, forneça opcionalmente uma descrição e selecione Avançar.

2. Em Configurações, selecione Rede Conectada, selecione Gerenciado pelo Controlador de Rede e, em seguida, selecione Avançar.

3. Em Site de Rede, especifique as configurações:

   Aqui estão os valores de exemplo:

   • Nome de rede: GRE VIP
   • Sub-rede: 31.30.30.0
   • Máscara: 24
   • ID de VLAN no tronco: NA
   • Gateway: 31.30.30.1

4. Para usar o IPv4, adicione a sub-rede IPv4 ao site de rede e crie o pool de endereços IPv4. Aqui estão os valores de exemplo:

   • Nome de rede: GRE VIP
   • Sub-rede:
   • Máscara:
   • ID de VLAN no tronco: NA
   • Gateway:

5. Para usar o IPv6, adicione as sub-redes IPv4 e IPV6 ao site de rede e crie o pool de endereços IPv6. Aqui estão os valores de exemplo:

   • Nome de rede: GRE VIP
   • Sub-rede: FD4A:293D:184F:382C::
   • Máscara: 64
   • ID de VLAN no tronco: NA
   • Gateway: FD4A:293D:184F:382C::1

6. Em Resumo, examine as configurações e conclua o assistente.

Criar um pool de endereços IP para endereços VIP GRE

Observação

Você pode criar um pool de endereços IP usando o assistente Criar Rede Lógica .

1. Clique com o botão direito do mouse na rede lógica VIP GRE >>.
2. Digite um Nome e uma descrição opcional para o pool e verifique se a rede do VIP está selecionada. Selecione Avançar.
3. Aceite o site de rede padrão e selecione Avançar.

4. Se você tiver criado a sub-rede IPv6, crie um pool de endereços IPv6 GRE VIP separado.
5. Escolha um endereço IP inicial e final para seu intervalo. Inicie o intervalo no segundo endereço de sua sub-rede disponível. Por exemplo, se a sub-rede disponível for de .1 a .254, inicie o intervalo em .2. Para especificar o intervalo VIP, não use a forma abreviada de endereço IPv6; Use o formato 2001:db8:0:200:0:0:7 em vez de 2001:db8:0:200::7.
6. Na caixa Endereços IP reservados para VIPs de balanceador de carga, digite o intervalo de endereços IP na sub-rede. Ele deve corresponder ao intervalo usado para os endereços IP inicial e final.
7. Você não precisa fornecer informações de gateway, DNS ou WINS, pois esse pool é usado para alocar endereços IP para VIPs somente por meio do controlador de rede. Selecione Avançar para ignorar essas telas.
8. Em Resumo, examine as configurações e conclua o assistente.

Importar o modelo de serviço

1. Selecione Modelode Importação deBiblioteca>.
2. Navegue até a pasta do modelo de serviço. Como exemplo, selecione o arquivo EdgeServiceTemplate Generation 2.xml.
3. Atualize os parâmetros do seu ambiente ao importar o modelo de serviço.

Observação

Os recursos da biblioteca foram importados durante a implantação do controlador de rede.

• WinServer.vhdx: selecione a imagem do disco rígido virtual que você preparou e importou anteriormente durante a implantação do controlador de rede.
• EdgeDeployment.CR: mapeie para o recurso de biblioteca EdgeDeployment.cr na biblioteca do VMM.

4. Na página Resumo , examine os detalhes e selecione Importar.

   Observação

   Você pode personalizar o modelo de serviço. Saiba mais.

Implantar o serviço do gateway

Para habilitar o IPv6, durante a integração do serviço gateway, marque a caixa de seleção Habilitar IPv6 e marque a sub-rede VIP DO GRE IPv6 que você criou anteriormente. Além disso, selecione o pool de IPv6 público e forneça o endereço IPv6 público.

Este exemplo usa o modelo de geração 2.

1. Selecione o modelo de serviço EdgeServiceTemplate Generation2.xml e selecione Configurar Implantação.

2. Digite um Nome e escolha um destino para a instância de serviço. O destino deve mapear para um grupo de hosts contendo os hosts configurados anteriormente para implantação do gateway.

3. Em Configurações de Rede, mapeie a rede de gerenciamento para a rede da VM de gerenciamento.

   Observação

   A caixa de diálogo Implantar Serviço é exibida após a conclusão do mapeamento. É normal que as instâncias da VM estejam inicialmente em vermelho. Selecione Atualizar Visualização para localizar automaticamente hosts adequados para a VM.

4. À esquerda da janela Configurar Implantação, defina as seguintes configurações:

   • AdminAccount. Obrigatórios. Selecione uma conta RunAs que será usada como o administrador local nas VMs do gateway.
   • Rede de gerenciamento. Obrigatórios. Escolha a rede VM de gerenciamento que você criou para o gerenciamento de host.
   • Conta de Gerenciamento. Obrigatórios. Selecione uma conta Executar como com permissões para adicionar o gateway ao domínio do Active Directory associado ao controlador de rede. Essa pode ser a mesma conta usada para MgmtDomainAccount ao implantar o controlador de rede.
   • FQDN. Obrigatórios. FQDN do domínio do Active directory para o gateway.

5. Selecione Implantar Serviço para iniciar o trabalho de implantação de serviço.

   Observação

   • O tempo de implantação variará dependendo do hardware, mas normalmente leva entre 30 e 60 minutos. Se a implantação do gateway falhar, exclua a instância de serviço que falhou em Todos os HostsServiços antes de tentar novamente a implantação.

   • Se você não estiver usando um volume licenciado VHDX (ou a chave do produto não for fornecida usando um arquivo de resposta), a implantação será interrompida na página chave do produto durante o provisionamento da VM. Você precisa acessar manualmente a área de trabalho da VM e inserir a chave ou ignorá-la.

   • Se você quiser escalar horizontalmente ou escalar horizontalmente uma instância de SLB implantada, leia este blog.

Limites do gateway

O conteúdo a seguir representa os limites padrão de um gateway gerenciado pelo NC:

• MaxVMNetworksSupported = 50
• MaxVPNConnectionsPerVMNetwork= 10
• MaxVMSubnetsSupported = 550
• MaxVPNConnectionsSupported = 250

Observação

Para uma rede virtualizada SDNv2, uma sub-rede de roteamento interno é criada para cada rede de VMs. O limite de MaxVMSubnetsSupported inclui as sub-redes internas criadas para redes de VMs.

Você pode substituir os limites padrão definidos para o gateway gerenciado do controlador de rede. No entanto, substituir o limite por um número mais alto poderá afetar o desempenho do controlador de rede.

Substituir os limites de gateway

Para substituir os limites padrão, acrescente a cadeia de caracteres de substituição à cadeia de caracteres de conexão do Serviço de Controlador de Rede e faça a atualização no VMM.

• MaxVMNetworksSupported = seguido pelo número de redes VM que podem ser usadas com esse gateway.
• MaxVPNConnectionsPerVMNetwork = seguido pelo número de conexões VPN que podem ser criadas por rede VM com esse gateway.
• MaxVMSubnetsSupported = seguido pelo número de sub-redes da rede VM que podem ser usadas com esse gateway.
• MaxVPNConnectionsSupported = seguido pelo número de conexões VPN que podem ser usadas com esse gateway.

Exemplo:

Para substituir o número máximo de redes VM que podem ser usadas com o gateway para 100, atualize a cadeia de caracteres de conexão da seguinte maneira:

serverurl=https://NCCluster.contoso.com;servicename=NC_VMM_RTM; MaxVMNetworksSupported==100

Configurar a função de gerenciador de gateway

Agora que o serviço de gateway está implantado, você pode configurar as propriedades e associá-las ao serviço do controlador de rede.

1. SelecioneServiço de Rede do Fabric> para exibir a lista de serviços de rede instalados. Clique com o botão direito do mouse em Serviço do Controlador de Rede >>.

2. Selecione a guia Serviços e selecione a Função Gerenciador de Gateway.

3. Localize o campo Serviço Associado em Informações de serviço e selecione Procurar. Selecione a instância de serviço do gateway que você criou anteriormente e selecione OK.

4. Selecione a Conta Executar como que será usada pelo controlador de rede para acessar as máquinas virtuais de gateway.

   Observação

   A conta Executar como deve ter privilégios de administrador nas VMs de gateway.

5. Em Sub-rede VIP do GRE, selecione a sub-rede VIP criada anteriormente.

6. Para habilitar o suporte ao IPv4, em Pool IPv4 público, selecione o pool configurado durante a implantação do SLB. Em Endereço IPv4 público, forneça um endereço IP do pool anterior e não selecione os três endereços iniciais do intervalo.

7. Para habilitar o suporte a IPv6, na caixa de seleçãoServiços de Propriedades> do Controlador de Rede, marque a caixa de seleção Habilitar IPv6, marque a sub-rede VIP DO GRE IPv6 que você criou anteriormente e insira o pool IPv6 público e o endereço IPv6 público, respectivamente. Além disso, selecione a sub-rede de front-end IPv6 que será atribuída às VMs do gateway.

   

8. Em Capacidade do Gateway, configure as definições de capacidade.

   A capacidade do gateway (Mbps) indica a largura de banda TCP normal esperada da VM do gateway. Defina esse parâmetro com base na velocidade de rede subjacente usada por você.

   A largura de banda de túnel IPsec é limitada a (3/20) da capacidade do gateway. Isso significa que, se a capacidade do gateway fosse definida como 1000 Mbps, a capacidade equivalente do túnel IPsec seria limitada a 150 Mbps.

   Observação

   O limite de largura de banda é o valor total da largura de banda de entrada e de saída.

   As taxas equivalentes para túneis GRE e L3 são 1/5 e 1/2, respectivamente.

9. Configure o número de nós reservados para backup em Nós para o campo reservado para falhas.

10. Para configurar VMs de gateway individuais, selecione cada VM e selecione a sub-rede de front-end IPv4, especifique o ASN local e, opcionalmente, adicione as informações do dispositivo de emparelhamento para o par BGP.

Observação

Você deve configurar os pares BGP do gateway se planeja usar conexões GRE.

A instância do serviço implantada agora está associada à função de Gerenciador de Gateway. Você deve ver a instância VM do gateway listada sob ela.

Observação

Você deve configurar os pares BGP do gateway se planeja usar conexões GRE.

A instância do serviço implantada agora está associada à função de Gerenciador de Gateway. Você deve ver a instância VM do gateway listada sob ela.

Validar a implantação

Depois de implantar o gateway, você poderá configurar os tipos de conexão S2S GRE, S2S IPsec ou L3 e validá-los. Para obter mais informações, consulte o seguinte conteúdo:

• Criar e validar conexões IPsec site a site
• Criar e validar conexões GRE site a site
• Criar e validar conexões L3

Para obter mais informações sobre tipos de conexão, consulte isso.

Configurar o seletor de tráfego do PowerShell

Este é o procedimento para configurar o seletor de tráfego usando o PowerShell do VMM.

1. Crie o seletor de tráfego usando os seguintes parâmetros.

   Observação

   Os valores usados são apenas exemplos.

   $t= new-object Microsoft.VirtualManager.Remoting.TrafficSelector
   
   $t.Type=7 // IPV4=7, IPV6=8
   
   $t.ProtocolId=6 // TCP =6, reference: https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers
   
   $t.PortEnd=5090
   
   $t.PortStart=5080
   
   $t.IpAddressStart=10.100.101.10
   
   $t.IpAddressEnd=10.100.101.100
   

2. Configure o seletor de tráfego acima usando o parâmetro -LocalTrafficSelectors de Adicionar SCVPNConnection ou Configurar SCVPNConnection.

Remover o gateway da malha SDN

Use essas etapas para remover o gateway da malha SDN.