Compartilhar via

Configurar um gateway RAS SDN na malha do VMM

Este artigo descreve como configurar um gateway RAS SDN (Rede Definida pelo Software) na malha do System Center Virtual Machine Manager (VMM).

Um gateway SDN RAS é um elemento do caminho de dados no SDN que permite a conectividade de site a site entre dois sistemas autônomos. Especificamente, um gateway RAS permite a conectividade site a site entre redes de inquilinos remotos e seu datacenter usando IPSec (Encapsulamento de Segurança de Internet), GRE (Encapsulamento de Roteamento Genérico) ou Encaminhamento de Camada 3. Saiba mais.

Observação

VMM 2025 e 2022 oferecem suporte de pilha dupla para o gateway RAS.

Observação

  • No VMM 2019 UR1, um tipo de rede conectado é alterado para Rede conectada.
  • O VMM 2019 UR2 e posterior dá suporte ao IPv6.

Antes de começar

Aqui estão algumas considerações antes de configurar um gateway RAS do SDN:

  • Planejamento: Leia sobre o planejamento de uma rede definida por software e revise a topologia de planejamento neste documento. O diagrama mostra um exemplo de configuração de 4 nós. A configuração é altamente disponível com três nós de controlador de rede (VM) e três nós SLB/MUX. Ele mostra dois locatários com uma rede virtual dividida em duas sub-redes virtuais para simular uma camada da Web e uma camada de banco de dados. As máquinas virtuais tanto da infraestrutura quanto do locatário podem ser redistribuídas em qualquer host físico.
  • Controlador de rede: você deve implantar o controlador de rede antes de implantar o gateway RAS.
  • SLB: para garantir que as dependências sejam tratadas corretamente, você também deve implantar o SLB antes de configurar o gateway. Se um SLB e um gateway estiverem configurados, você poderá usar e validar uma conexão IPsec.
  • Modelo de serviço: o VMM usa um modelo de serviço para automatizar a implantação do GW. Os modelos de serviço dão suporte à implantação de vários nós em VMs de Geração 1 e Geração 2.

Etapas de implantação

Para configurar um gateway RAS, siga estas etapas:

  1. Baixar o modelo de serviço: baixe o modelo de serviço necessário para implantar o GW.

  2. Crie a rede lógica VIP: Crie uma rede lógica VIP do tipo GRE. Ele precisa de um pool de endereços IP para VIPs privados e para atribuir VIPs aos pontos de extremidade GRE. A rede tem a finalidade de definir IPs Virtuais (VIPs) atribuídos às VMs de gateway que operam na malha SDN para uma conexão GRE de site a site.

    Observação

    Para habilitar o suporte de pilha dupla, ao criar a rede lógica VIP GRE, adicione a sub-rede IPv6 ao site de rede e crie o pool de endereços IPv6. (aplicável para o 2022 e posterior)

  3. Importar o modelo de serviço: Importar o modelo de serviço do gateway RAS.

  4. Implantar o gateway: implante uma instância de serviço de gateway e configure suas propriedades.

  5. Valide a implantação: configure o GRE, o IPSec ou o L3 site a site e valide a implantação.

Baixe o modelo de serviço

Para baixar o modelo de serviço, siga estas etapas:

  1. Baixe a pasta SDN do repositório GitHub do Microsoft SDN e copie os modelos de VMM>Templates>GW para um caminho local no servidor VMM.
  2. Extraia o conteúdo para uma pasta em um computador local. Você os importará para a biblioteca mais tarde.

O download contém dois modelos:

  • O modelo EdgeServiceTemplate_Generation 1 VM.xml é para implantar o Serviço GW em máquinas virtuais de Geração 1.
  • O VM.xml EdgeServiceTemplate_Generation 2 é para implantar o Serviço GW em máquinas virtuais de Geração 2.

Ambos os modelos têm uma contagem padrão de três máquinas virtuais, que podem ser alteradas no designer de modelo de serviço.

Criar a rede lógica GRE VIP

Para criar a rede lógica GRE VIP, siga estas etapas:

  1. No console do VMM, execute o Assistente para Criar Rede Lógica. Insira um Nome, opcionalmente, forneça uma descrição e selecione Avançar.
  1. Em Configurações, selecione Uma rede conectada. Opcionalmente, você pode selecionar Criar uma rede VM com o mesmo nome. Essa configuração permite que as VMs acessem essa rede lógica diretamente. Selecione Gerenciado pelo Controlador de Rede e selecione Avançar.
  • Para o VMM 2019 UR1 e posterior, em Configurações, selecione Rede Conectada, selecione Gerenciado pelo Controlador de Rede e, em seguida, selecione Avançar.
  1. Em Configurações, selecione Rede Conectada, selecione Gerenciado pelo Controlador de Rede e, em seguida, selecione Avançar.

  1. Em Site de Rede, especifique as configurações:

    Aqui estão os valores de exemplo:

    • Nome da rede: GRE VIP
    • Sub-rede: 31.30.30.0
    • Máscara: 24
    • ID da VLAN no tronco: NA
    • Porta de entrada: 31.30.30.1
  1. Em Resumo, reveja as configurações e finalize o assistente.

  1. Para usar o IPv6, adicione a sub-rede IPv4 e IPV6 ao site de rede. Aqui estão os valores de exemplo:

    • Nome da rede: GRE VIP
    • Sub-rede: FD4A: 293D: 184F: 382C::
    • Máscara: 64
    • ID da VLAN no tronco: NA
    • Porta de entrada: FD4A:293D:184F:382C::1

  2. Em Resumo, reveja as configurações e finalize o assistente.

  1. Para usar o IPv4, adicione a sub-rede IPv4 ao site de rede e crie o pool de endereços IPv4. Aqui estão os valores de exemplo:

    • Nome da rede: GRE VIP
    • Sub-rede:
    • Máscara:
    • ID da VLAN no tronco: NA
    • Porta:

  2. Para usar o IPv6, adicione as sub-redes IPv4 e IPV6 ao site de rede e crie o pool de endereços IPv6. Aqui estão os valores de exemplo:

    • Nome da rede: GRE VIP
    • Sub-rede: FD4A: 293D: 184F: 382C::
    • Máscara: 64
    • ID da VLAN no tronco: NA
    • Porta de entrada: FD4A:293D:184F:382C::1

  3. Em Resumo, reveja as configurações e finalize o assistente.

Criar um pool de endereços IP para endereços VIP GRE

Observação

A partir do VMM 2019 UR1 e versões posteriores, você pode criar um pool de endereços IP usando o assistente Criar Rede Lógica.

Observação

Você pode criar um pool de endereços IP usando o assistente Criar Rede Lógica.

Para criar um pool de endereços IP, siga estas etapas:

  1. Clique com o botão direito do mouse na rede lógica VIP GRE >Criar Pool de IP.
  2. Insira um Nome e uma descrição opcional para o pool e verifique se a rede VIP está selecionada. Selecione Avançar.
  3. Aceite o site de rede padrão e selecione Avançar.
  1. Escolha um endereço IP inicial e final para o seu intervalo. Inicie o intervalo no segundo endereço da sua sub-rede disponível. Por exemplo, se a sub-rede disponível for de .1 a .254, inicie o intervalo em .2.
  2. Na caixa Endereços IP reservados para VIPs do balanceador de carga, insira o intervalo de endereços IP na sub-rede. Isso deve corresponder ao intervalo usado para iniciar e terminar os endereços IP.
  3. Você não precisa fornecer informações de gateway, DNS ou WINS, pois esse pool é usado para alocar endereços IP para VIPs somente por meio do controlador de rede. Selecione Avançar para ignorar essas telas.
  4. Em Resumo, reveja as configurações e finalize o assistente.
  1. Se você tiver criado uma sub-rede IPv6, crie um pool de endereços VIP IPv6 GRE separado.
  2. Escolha um endereço IP inicial e final para o seu intervalo. Inicie o intervalo no segundo endereço da sua sub-rede disponível. Por exemplo, se a sub-rede disponível for de .1 a .254, inicie o intervalo em .2. Para especificar o intervalo VIP, não use a forma abreviada de endereço IPv6; Use o formato 2001:db8:0:200:0:0:0:7 em vez de 2001:db8:0:200::7.
  3. Na caixa Endereços IP reservados para VIPs do balanceador de carga, insira o intervalo de endereços IP na sub-rede. Isso deve corresponder ao intervalo usado para iniciar e terminar os endereços IP.
  4. Você não precisa fornecer informações de gateway, DNS ou WINS, pois esse pool é usado para alocar endereços IP para VIPs somente por meio do controlador de rede. Selecione Avançar para ignorar essas telas.
  5. Em Resumo, reveja as configurações e finalize o assistente.

Importar o modelo de serviço

Para importar o modelo de serviço, siga estas etapas:

  1. Selecione Biblioteca>Modelo de Importação.
  2. Navegue até a pasta do modelo de serviço. Como exemplo, selecione o arquivo EdgeServiceTemplate Generation 2.xml.
  3. Atualize os parâmetros do seu ambiente à medida que você importa o modelo de serviço.

Observação

Os recursos da biblioteca foram importados durante a implantação do controlador de rede.

  • WinServer.vhdx: selecione a imagem do disco rígido virtual que você preparou e importou anteriormente durante a implantação do controlador de rede.
  • EdgeDeployment.CR: associe ao recurso de biblioteca EdgeDeployment.cr na biblioteca do VMM.

  1. Na página Resumo , examine os detalhes e selecione Importar.

    Observação

    Você pode personalizar o modelo de serviço. Saiba mais.

Implantar o serviço de gateway

Para habilitar o IPv6, durante a integração do serviço de Gateway, marque a caixa de seleção Habilitar IPv6 e selecione a sub-rede VIP IPv6 GRE que você criou anteriormente. Além disso, selecione o pool de IPv6 público e forneça o endereço IPv6 público.

Este exemplo usa o modelo Geração 2.

Para implantar o serviço de gateway, siga estas etapas:

  1. Selecione o modelo de serviço EdgeServiceTemplate Generation2.xml e selecione Configurar Implantação.

  2. Insira um Nome e escolha um destino para a instância de serviço. O destino deve corresponder a um grupo de hosts que contenha os hosts configurados anteriormente para implantação de gateway.

  3. Em Configurações de Rede, mapeie a rede de gerenciamento para a rede VM de gerenciamento.

    Observação

    A caixa de diálogo Implantar Serviço é exibida após a conclusão do mapeamento. É normal que as instâncias de VM sejam inicialmente vermelhas. Selecione Atualizar Visualização para localizar automaticamente os hosts adequados para a VM.

  4. À esquerda da janela Configurar Implantação , defina as seguintes configurações:

    • AdminAccount Obrigatória. Selecione uma conta RunAs que será usada como administrador local nas VMs de gateway.
    • Rede de Gestão. Obrigatória. Escolha a rede VM de gerenciamento que você criou para o gerenciamento de host.
    • Conta de Gerenciamento. Obrigatória. Selecione uma conta Executar como com permissões para adicionar o gateway ao domínio do Active Directory associado ao controlador de rede. Essa pode ser a mesma conta usada para MgmtDomainAccount durante a implantação do controlador de rede.
    • FQDN. Obrigatória. FQDN para o domínio do Active Directory do gateway.

  5. Selecione Implantar Serviço para iniciar o trabalho de implantação do serviço.

    Observação

    • Os tempos de implantação variam dependendo do seu hardware, mas geralmente são entre 30 e 60 minutos. Se a implantação do gateway falhar, exclua a instância de serviço com falha em Todos os Hosts>Serviços antes de repetir a implantação.

    • Se você não estiver usando um VHDX licenciado por volume (ou a chave do produto não for fornecida usando um arquivo de resposta), a implantação será interrompida na página Chave do Produto durante o provisionamento da VM. Você precisa acessar manualmente o desktop da VM e escolher entre inserir a chave ou ignorá-la.

    • Se você quiser reduzir ou expandir uma instância do SLB implantada, leia este blog.

Limites de gateway

A seguir estão os limites padrão para o gateway gerenciado NC:

  • MaxVMNetworksSupported= 50
  • MaxVPNConnectionsPerVMNetwork= 10
  • MaxVMSubnetsSupported= 550
  • MaxVPNConnectionsSupported= 250

Observação

Para uma rede virtualizada SDNv2, uma sub-rede de roteamento interno é criada para cada rede VM. O limite MaxVMSubnetsSupported inclui as sub-redes internas criadas para redes de máquinas virtuais (VM).

Você pode substituir os limites padrão definidos para o controlador de rede do gateway gerenciado. No entanto, aumentar o limite para um número maior pode afetar o desempenho do controlador de rede.

Substituir os limites do gateway

Para substituir os limites padrão, acrescente a cadeia de caracteres de substituição à cadeia de conexão de serviço do controlador de rede e atualize no VMM.

  • MaxVMNetworksSupported= seguido pelo número de redes VM que podem ser usadas com esse gateway.
  • MaxVPNConnectionsPerVMNetwork= seguido pelo número de conexões VPN que podem ser criadas por rede VM com esse gateway.
  • MaxVMSubnetsSupported = seguido pelo número de sub-redes da rede VM que podem ser usadas com esse gateway.
  • MaxVPNConnectionsSupported = seguido pelo número de conexões VPN que podem ser usadas com esse gateway.

Exemplo:

Para substituir o número máximo de redes de VM que podem ser usadas com o gateway para 100, atualize a cadeia de caracteres de conexão da seguinte maneira:

serverurl=https://NCCluster.contoso.com;servicename=NC_VMM_RTM; MaxVMNetworksSupported==100

Configurar a função de gerenciador de gateway

Agora que o serviço de gateway foi implantado, você pode configurar as propriedades e associá-lo ao serviço do controlador de rede.

Para configurar a função de gerenciador de gateway, siga estas etapas:

  1. Selecione Malha>Serviço de Rede para exibir a lista de serviços de rede instalados. Clique com o botão direito do mouse em Serviço do Controlador de Rede >Propriedades.

  2. Selecione a guia Serviços e selecione a Função de Gerente de Gateway.

  3. Encontre o campo Serviço Associado em informações do serviço e selecione Pesquisar. Selecione a instância de serviço de gateway que você criou anteriormente e selecione OK.

  4. Selecione a conta Run As que será usada pelo controlador de rede para acessar as máquinas virtuais do gateway.

    Observação

    A conta Run As deve ter privilégios de administrador nas VMs do gateway.

  5. Na sub-rede VIP GRE, selecione a sub-rede VIP que você criou anteriormente.

  1. No Pool IPv4 público, selecione o pool que você configurou durante a implantação do SLB. Em endereço IPv4 público, forneça um endereço IP do pool anterior e certifique-se de não selecionar os três primeiros endereços IP do intervalo.

  1. Para habilitar o suporte a IPv4, em Pool IPv4 público, selecione o pool que você configurou durante a implantação do SLB. Em endereço IPv4 público, forneça um endereço IP do pool anterior e certifique-se de não selecionar os três primeiros endereços IP do intervalo.

  2. Para habilitar o suporte a IPv6, nas Propriedades do Controlador de Rede>Serviços, marque a caixa de seleção Habilitar IPv6, selecione a sub-rede VIP IPv6 GRE que você criou anteriormente e insira, respectivamente, o pool IPv6 público e o endereço IPv6 público. Além disso, selecione a sub-rede de front-end IPv6 que será atribuída às VMs do Gateway.

    Captura de tela da ativação do IPv6.

  3. Em Capacidade do gateway, defina as configurações de capacidade.

    A capacidade do gateway (Mbps) indica a largura de banda TCP normal esperada da VM do gateway. Você deve definir esse parâmetro com base na velocidade de rede subjacente que você usa.

    A largura de banda do túnel IPsec é limitada a (3/20) da capacidade do gateway. O que significa que, se a capacidade do gateway for definida como 1000 Mbps, a capacidade equivalente do túnel IPsec será limitada a 150 Mbps.

    Observação

    O limite de largura de banda é o valor total da largura de banda de entrada e de saída.

    As proporções equivalentes para os túneis GRE e L3 são 1/5 e 1/2, respectivamente.

  4. Configure o número de nós reservados para backup no campo Nós reservados para falhas.

  5. Para configurar VMs de gateway individuais, selecione cada VM e a sub-rede de front-end IPv4, especifique o ASN local e, opcionalmente, adicione as informações do dispositivo de emparelhamento para o par do BGP.

Observação

Você deve configurar os pares do BGP do gateway caso pretenda usar conexões GRE.

A instância de serviço que você implantou agora está associada à função de Gerenciador de gateway. Você deve ver a instância de VM do gateway listada abaixo dele.

  1. Em Capacidade do gateway, defina as configurações de capacidade.

    A capacidade do gateway (Mbps) indica a largura de banda TCP normal esperada da VM do gateway. Você deve definir esse parâmetro com base na velocidade de rede subjacente que você usa.

    A largura de banda do túnel IPsec é limitada a (3/20) da capacidade do gateway. O que significa que, se a capacidade do gateway for definida como 1000 Mbps, a capacidade equivalente do túnel IPsec será limitada a 150 Mbps.

    Observação

    O limite de largura de banda é o valor total da largura de banda de entrada e de saída.

    As proporções equivalentes dos túneis GRE e L3 são de 1/5 e 1/2 respectivamente.

  2. Configure o número de nós reservados para backup no campo Nós reservados para falhas.

  3. Para configurar VMs de gateway individuais, selecione cada VM e a sub-rede de front-end IPv4, especifique o ASN local e, opcionalmente, adicione as informações do dispositivo de emparelhamento para o par do BGP.

Observação

Você deve configurar os pares do BGP do gateway caso pretenda usar conexões GRE.

A instância de serviço que você implantou agora está associada à função de Gerenciador de gateway. Você deve ver a instância de VM do gateway listada abaixo dele.

Validar a implantação

Depois de implantar o gateway, você pode configurar os tipos de conexão S2S GRE, S2S IPSec ou L3 e validá-los. Para obter mais informações, consulte o seguinte conteúdo:

Para obter mais informações sobre os tipos de conexão, consulte isto.

Configurar o seletor de tráfego do PowerShell

Aqui está o procedimento para configurar o seletor de tráfego usando o PowerShell do VMM.

Para configurar o seletor de tráfego, siga estas etapas:

  1. Crie o seletor de tráfego usando os parâmetros a seguir.

    Observação

    Os valores usados são apenas exemplos.

    $t= new-object Microsoft.VirtualManager.Remoting.TrafficSelector

$t.Type=7 // IPV4=7, IPV6=8

$t.ProtocolId=6 // TCP =6, reference: https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers

$t.PortEnd=5090

$t.PortStart=5080

$t.IpAddressStart=10.100.101.10

$t.IpAddressEnd=10.100.101.100

  2. Configure o seletor de tráfego acima usando o parâmetro -LocalTrafficSelectors de Add-SCVPNConnection ou Set-SCVPNConnection.

Remover a porta de entrada da malha SDN

Use estas etapas para remover o gateway da malha SDN.

  • Last updated on