Partilhar via

Configurar um gateway RAS de SDN nos recursos de infraestrutura do VMM

  • Artigo

Importante

Esta versão do Virtual Machine Manager (VMM) chegou ao fim do suporte. Recomendamos que atualize para o VMM 2022.

Este artigo descreve como configurar um gateway RAS de Redes Definidas pelo Software (SDN) nos recursos de infraestrutura do System Center – Virtual Machine Manager (VMM).

Um Gateway RAS de SDN é um elemento de caminho de dados numa SDN que permite a conectividade de site a site entre dois sistemas autónomos. Especificamente, um gateway RAS permite a conectividade site a site entre redes de inquilinos remotos e o seu datacenter com IPSec, Generic Routing Encapsulation (GRE) ou Reencaminhamento de Camada 3. Saiba mais.

Nota

O VMM 2022 fornece suporte de pilha dupla para gateway RAS.

Nota

  • A partir do VMM 2019 UR1, um tipo de rede Ligado é alterado para Rede Ligada.
  • O VMM 2019 UR2 e posterior suporta IPv6.

Antes de começar

Antes de começar, siga estes passos:

  • Planeamento: leia sobre o planeamento de uma rede definida pelo software e reveja a topologia de planeamento neste documento. O diagrama mostra um exemplo de uma configuração de quatro nós. A configuração está altamente disponível com três nós de controlador de rede (VM) e Três nós SLB/MUX. Mostra dois inquilinos com uma rede virtual dividida em duas sub-redes virtuais para simular uma camada Web e uma camada de base de dados. Tanto a infraestrutura como as máquinas virtuais inquilinas podem ser redistribuídas por qualquer anfitrião físico.
  • Controlador de rede: deve implementar o controlador de rede antes de implementar o gateway RAS.
  • SLB: para garantir que as dependências são processadas corretamente, deve também implementar o SLB antes de configurar o gateway. Se estiverem configurados um SLB e um gateway, pode utilizar e validar uma ligação IPSec.
  • Modelo de serviço: o VMM utiliza um modelo de serviço para automatizar a implementação da pasta GW. Os modelos de serviço suportam a implementação de vários nós em VMs de geração 1 e geração 2.

Passos da implementação

Para configurar um gateway RAS, faça o seguinte:

  1. Transferir o modelo de serviço: transfira o modelo de serviço de que necessita para implementar a pasta GW.

  2. Criar a rede lógica VIP: Crie uma rede lógica VIP GRE. Precisa de um conjunto de endereços IP para VIPs privados e para atribuir VIPs a pontos finais GRE. A rede existe para definir VIPs que estão atribuídas às VMs de gateway em execução nos recursos de infraestrutura da SDN para uma ligação GRE de site para site.

    Nota

    Para ativar o suporte de pilha dupla, ao criar uma rede lógica VIP GRE, adicione a sub-rede IPv6 ao site de rede e crie o conjunto de endereços IPv6. (aplicável para 2022 e posterior)

  3. Importar o modelo de serviço: importe o modelo de serviço de gateway RAS.

  4. Implementar o gateway: implemente uma instância do serviço de gateway e configure as respetivas propriedades.

  5. Validar a implementação: configure o GRE site para site, IPSec ou L3 e valide a implementação.

Transferir o modelo de serviço

  1. Transfira a pasta SDN contida no repositório Microsoft SDN do GitHub e copie os modelos VMM>Modelos>GW para um caminho local no servidor VMM.
  2. Extraia os conteúdos para uma pasta num computador local. Irá importá-los para a biblioteca mais tarde.

A transferência contém dois modelos:

  • O modelo EdgeServiceTemplate_Generation 1 VM.xml destina-se a implementar o Serviço GW em máquinas virtuais de geração 1.
  • O EdgeServiceTemplate_Generation 2 VM.xml destina-se à implementação do Serviço GW em máquinas virtuais de geração 2.

Ambos os modelos têm uma contagem predefinida de três máquinas virtuais, que podem ser alteradas no estruturador de modelos de serviço.

Criar a rede lógica VIP GRE

  1. Na consola do VMM, execute o Assistente de Criação de Rede Lógica. Escreva um Nome, forneça opcionalmente uma descrição e selecione Seguinte.
  1. Em Definições, selecione Uma Rede Ligada. Opcionalmente, pode selecionar Criar uma rede VM com o mesmo nome. Esta definição permite que as VMs acedam diretamente a esta rede lógica. Selecione Gerido pelo Controlador de Rede e selecione Seguinte.
  • Para o VMM 2019 UR1 e posterior, em Definições, selecione Rede Ligada, selecione Gerida pelo Controlador de Rede e, em seguida, selecione Seguinte.
  1. Em Definições, selecione Rede Ligada, selecione Gerida pelo Controlador de Rede e, em seguida, selecione Seguinte.

  1. Em Site de Rede, especifique as definições:

    Eis os valores de exemplo:

    • Nome de rede: VIP GRE
    • Sub-rede: 31.30.30.0
    • Máscara: 24
    • ID de VLAN no ramal: NA
    • Gateway: 31.30.30.1
  1. Em Resumo, reveja as definições e conclua o assistente.

  1. Para utilizar o IPv6, adicione a sub-rede IPv4 e IPV6 ao site de rede. Eis os valores de exemplo:

    • Nome de rede: VIP GRE
    • Sub-rede: FD4A:293D:184F:382C::
    • Máscara: 64
    • ID de VLAN no ramal: NA
    • Gateway: FD4A:293D:184F:382C::1

  2. Em Resumo, reveja as definições e conclua o assistente.

  1. Para utilizar o IPv4, adicione a sub-rede IPv4 ao site de rede e crie um conjunto de endereços IPv4. Eis os valores de exemplo:

    • Nome de rede: VIP GRE
    • Sub-rede:
    • Máscara:
    • ID de VLAN no ramal: NA
    • Gateway:

  2. Para utilizar as sub-redes IPv6, adicione as sub-redes IPv4 e IPV6 ao site de rede e crie um conjunto de endereços IPv6. Eis os valores de exemplo:

    • Nome de rede: VIP GRE
    • Sub-rede: FD4A:293D:184F:382C::
    • Máscara: 64
    • ID de VLAN no ramal: NA
    • Gateway: FD4A:293D:184F:382C::1

  3. Em Resumo, reveja as definições e conclua o assistente.

Criar um endereço IP para endereços VIP GRE

Nota

A partir do VMM 2019 UR1 e posterior, pode criar um conjunto de endereços IP com o assistente Criar Rede Lógica .

Nota

Pode criar um conjunto de endereços IP com o assistente Criar Rede Lógica .

  1. Clique com o botão direito do rato na rede > lógica VIP GRE Criar Conjunto IP.
  2. Escreva um Nome e uma descrição opcional para o conjunto e verifique se a rede VIP está selecionada. Selecione Seguinte.
  3. Aceite o site de rede predefinido e selecione Seguinte.
  1. Escolha um endereço IP inicial e final para o seu intervalo. Inicie o intervalo no segundo endereço da sub-rede disponível. Por exemplo, se a sub-rede disponível for do .1 ao .254, inicie o intervalo no .2.
  2. Na caixa endereços IP reservados para VIPs do balanceador de carga, escreva o intervalo de endereços IP na sub-rede. Deverá corresponder ao intervalo que utilizou para os endereços IP inicial e final.
  3. Não precisa de fornecer informações de gateway, DNS ou WINS, uma vez que este conjunto é utilizado para alocar endereços IP para VIPs apenas através do controlador de rede. Selecione Seguinte para ignorar estes ecrãs.
  4. Em Resumo, reveja as definições e conclua o assistente.
  1. Se tiver criado a sub-rede IPv6, crie um conjunto de endereços VIP IPv6 GRE separado.
  2. Escolha um endereço IP inicial e final para o seu intervalo. Inicie o intervalo no segundo endereço da sub-rede disponível. Por exemplo, se a sub-rede disponível for do .1 ao .254, inicie o intervalo no .2. Para especificar o intervalo VIP, não utilize a forma abreviada de endereço IPv6; Utilize o formato 2001:db8:0:200:0:0:0:7 em vez de 2001:db8:0:200::7.
  3. Na caixa endereços IP reservados para VIPs do balanceador de carga, escreva o intervalo de endereços IP na sub-rede. Deverá corresponder ao intervalo que utilizou para os endereços IP inicial e final.
  4. Não precisa de fornecer informações de gateway, DNS ou WINS, uma vez que este conjunto é utilizado para alocar endereços IP para VIPs apenas através do controlador de rede. Selecione Seguinte para ignorar estes ecrãs.
  5. Em Resumo, reveja as definições e conclua o assistente.

Importar o modelo de serviço

  1. SelecioneModelo de Importação deBiblioteca>.
  2. Navegue para a pasta de modelos de serviço. Por exemplo, selecione o ficheiro edgeServiceTemplate Generation 2.xml .
  3. Atualize os parâmetros para o seu ambiente à medida que importa o modelo de serviço.

Nota

Os recursos da biblioteca foram importados durante a implementação do controlador de rede.

  • WinServer.vhdx: selecione a imagem do disco rígido virtual que preparou e importou anteriormente durante a implementação do controlador de rede.
  • EdgeDeployment.CR: mapeie para o recurso de biblioteca EdgeDeployment.cr na biblioteca do VMM.

  1. Na página Resumo , reveja os detalhes e selecione Importar.

    Nota

    Pode personalizar o modelo de serviço. Saiba mais.

Implementar o serviço de gateway

Para ativar o IPv6, ao integrar o serviço de Gateway, selecione a caixa de verificação Ativar IPv6 e selecione a sub-rede VIP IPv6 GRE que criou anteriormente. Além disso, selecione o conjunto IPv6 público e forneça o endereço IPv6 público.

Este exemplo utiliza o modelo de geração 2.

  1. Selecione o modelo de serviço EdgeServiceTemplate Generation2.xml e selecione Configurar Implementação.

  2. Escreva um Nome e escolha um destino para a instância de serviço. O destino tem de mapear para um grupo de anfitriões que contenha os anfitriões que configurou anteriormente para a implementação do gateway.

  3. Em Definições de Rede, mapeie a rede de gestão para a rede VM de gestão.

    Nota

    A caixa de diálogo Implementar Serviço é apresentada após a conclusão do mapeamento. É normal que as instâncias da VM apareçam inicialmente a vermelho. Selecione Atualizar Pré-visualização para encontrar automaticamente anfitriões adequados para a VM.

  4. À esquerda da janela Configurar Implementação, configure as seguintes definições:

    • AdminAccount. Obrigatório. Selecione uma conta RunAs que será utilizada como administrador local nas VMs de gateway.
    • Rede de Gestão. Obrigatório. Escolha a Rede VM de gestão que criou para a gestão de anfitriões.
    • Conta de Gestão. Obrigatório. Selecione uma conta Run As com permissões para adicionar o gateway ao domínio do Active Directory associado ao controlador de rede. Esta pode ser a mesma conta utilizada para MgmtDomainAccount ao implementar o controlador de rede.
    • FQDN. Obrigatório. FQDN do domínio do Active Directory para o gateway.

  5. Selecione Implementar Serviço para iniciar a tarefa de implementação do serviço.

    Nota

    • O tempo de implementação irá variar consoante o hardware, mas é normalmente entre 30 e 60 minutos. Se a implementação do gateway falhar, elimine a instância de serviço falhada em Todos os Serviços anfitriões> antes de repetir a implementação.

    • Se não estiver a utilizar um VHDX licenciado em volume (ou se a chave de produto não for fornecida com um ficheiro de resposta), a implementação será interrompida na página Chave de Produto durante o aprovisionamento da VM. Tem de aceder manualmente ao ambiente de trabalho da VM e introduzir a chave ou ignorá-la.

    • Se quiser aumentar horizontalmente ou aumentar horizontalmente uma instância de SLB implementada, leia este blogue.

Limites do gateway

Seguem-se os limites predefinidos para o gateway gerido por NC:

  • MaxVMNetworksSupported= 50
  • MaxVPNConnectionsPerVMNetwork= 10
  • MaxVMSubnetsSupported= 550
  • MaxVPNConnectionsSupported= 250

Nota

Para uma rede virtualizada SDNv2, é criada uma sub-rede de encaminhamento interno para cada rede VM. O limite MaxVMSubnetsSupported inclui as sub-redes internas criadas para redes VM.

Pode substituir os limites predefinidos definidos para o gateway gerido pelo controlador de rede. No entanto, substituir o limite para um número mais elevado pode afetar o desempenho do controlador de rede.

Substituir os limites do gateway

Para substituir os limites predefinidos, acrescente a cadeia de substituição ao serviço do controlador de rede cadeia de ligação e atualize no VMM.

  • MaxVMNetworksSupported= seguido do número de redes VM que podem ser utilizadas com este gateway.
  • MaxVPNConnectionsPerVMNetwork= seguido do número de Connections de VPN que podem ser criados por rede VM com este gateway.
  • MaxVMSubnetsSupported= seguido do número de sub-redes de rede VM que podem ser utilizadas com este gateway.
  • MaxVPNConnectionsSupported= seguido do número de Connections de VPN que podem ser utilizados com este gateway.

Exemplo:

Para substituir o número máximo de redes VM que podem ser utilizadas com o gateway para 100, atualize o cadeia de ligação da seguinte forma:

serverurl=https://NCCluster.contoso.com;servicename=NC_VMM_RTM; MaxVMNetworksSupported==100

Configurar a função de gestor de gateway

Agora que o serviço de gateway está implementado, pode configurar as propriedades e associá-lo ao serviço de controlador de rede.

  1. SelecioneServiço de Rede de Recursos> de Infraestrutura para apresentar a lista de serviços de rede instalados. Clique com o botão direito do rato no serviço de controlador > de rede Propriedades.

  2. Selecione o separador Serviços e selecione a Função gestor de gateway.

  3. Localize o campo Serviço Associado em Informações do serviço e selecione Procurar. Selecione a instância do serviço de gateway que criou anteriormente e selecione OK.

  4. Selecione a conta Run As que será utilizada pelo controlador de rede para aceder às máquinas virtuais do gateway.

    Nota

    A conta Run As tem de ter privilégios de Administrador nas VMs do gateway.

  5. Em sub-rede VIP GRE, selecione a sub-rede VIP que criou anteriormente.

  1. Em Conjunto IPv4 público, selecione o conjunto que configurou durante a implementação do SLB. Em Endereço IPv4 público, forneça um endereço IP do conjunto anterior e certifique-se de que não seleciona os três endereços IP iniciais do intervalo.

  1. Para ativar o suporte IPv4, no conjunto IPv4 público, selecione o conjunto que configurou durante a implementação do SLB. Em Endereço IPv4 público, forneça um endereço IP do conjunto anterior e certifique-se de que não seleciona os três endereços IP iniciais do intervalo.

  2. Para ativar o suporte IPv6, a partir dosServiços de Propriedades> do Controlador de Rede, selecione a caixa de verificação Ativar IPv6, selecione a sub-rede VIP IPv6 GRE que criou anteriormente e introduza o conjunto IPv6 público e o endereço IPv6 público, respetivamente. Além disso, selecione sub-rede de front-end IPv6 que será atribuída a VMs de Gateway.

    Captura de ecrã a mostrar a opção Ativar IPv6.

  3. Em Capacidade do Gateway, configure as definições de capacidade.

    A capacidade do gateway (Mbps) indica a largura de banda TCP que se espera normalmente da VM do gateway. Tem de definir este parâmetro com base na velocidade da rede subjacente que utilizar.

    A largura de banda de túnel IPsec está limitada a 3/20 da capacidade do gateway. Isto significa que, se a capacidade do gateway for definida para 1000 Mbps, a capacidade do túnel IPsec seria limitada a 150 Mbps.

    Nota

    O limite de largura de banda é o valor total da largura de banda de entrada e da largura de banda de saída.

    Os rácios equivalentes para túneis GRE e L3 são 1/5 e 1/2, respetivamente.

  4. Configure o número de nós reservados para cópia de segurança em Nós reservados para o campo de falhas.

  5. Para configurar VMs de gateway individuais, selecione cada VM e selecione a sub-rede de front-end IPv4, especifique o ASN local e, opcionalmente, adicione as informações do dispositivo de peering para o elemento de rede BGP.

Nota

Tem de configurar os elementos de rede BGP do gateway se planear utilizar ligações GRE.

A instância de serviço que implementou está agora associada à função de Gestor de gateway. Deverá ver a instância VM do gateway listada sob a mesma.

  1. Em Capacidade do Gateway, configure as definições de capacidade.

    A capacidade do gateway (Mbps) indica a largura de banda TCP que se espera normalmente da VM do gateway. Tem de definir este parâmetro com base na velocidade da rede subjacente que utilizar.

    A largura de banda de túnel IPsec está limitada a 3/20 da capacidade do gateway. Isto significa que, se a capacidade do gateway for definida para 1000 Mbps, a capacidade do túnel IPsec seria limitada a 150 Mbps.

    Nota

    O limite de largura de banda é o valor total da largura de banda de entrada e da largura de banda de saída.

    Os rácios equivalentes para túneis GRE e L3 são 1/5 e 1/2, respetivamente.

  2. Configure o número de nós reservados para cópia de segurança em Nós reservados para o campo de falhas.

  3. Para configurar VMs de gateway individuais, selecione cada VM e selecione a sub-rede de front-end IPv4, especifique o ASN local e, opcionalmente, adicione as informações do dispositivo de peering para o elemento de rede BGP.

Nota

Tem de configurar os elementos de rede BGP do gateway se planear utilizar ligações GRE.

A instância de serviço que implementou está agora associada à função de Gestor de gateway. Deverá ver a instância VM do gateway listada sob a mesma.

Validar a implementação

Depois de implementar o gateway, pode configurar tipos de ligação GRE S2S, IPSec S2S ou L3 e validá-los. Para obter mais informações, veja os seguintes conteúdos:

Para obter mais informações sobre tipos de ligação, veja isto.

Configurar o seletor de tráfego no PowerShell

Eis o procedimento para configurar o seletor de tráfego com o PowerShell do VMM.

  1. Crie o seletor de tráfego com os parâmetros seguintes.

    Nota

    Os valores utilizados são apenas exemplos.

    $t= new-object Microsoft.VirtualManager.Remoting.TrafficSelector

$t.Type=7 // IPV4=7, IPV6=8

$t.ProtocolId=6 // TCP =6, reference: https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers

$t.PortEnd=5090

$t.PortStart=5080

$t.IpAddressStart=10.100.101.10

$t.IpAddressEnd=10.100.101.100

  2. Configure o seletor de tráfego acima com o parâmetro LocalTrafficSelectors de Add-SCVPNConnection ou Set-SCVPNConnection.

Remover o gateway dos recursos de infraestrutura do SDN

Utilize estes passos para remover o gateway dos recursos de infraestrutura do SDN.