Partilhar via

Configurar um gateway RAS SDN na malha do VMM

Este artigo descreve como configurar um gateway RAS SDN (Software Defined Networking) na malha do System Center Virtual Machine Manager (VMM).

Um gateway RAS SDN é um elemento de caminho de dados no SDN que permite a conectividade site a site entre dois sistemas autônomos. Especificamente, um gateway RAS permite a conectividade site a site entre redes de locatários remotos e seu datacenter usando IPSec, GRE (Generic Routing Encapsulation) ou Layer 3 Forwarding. Saiba mais.

Observação

VMM 2025 e 2022 fornecem suporte de pilha dupla para gateway RAS.

Observação

  • A partir do VMM 2019 UR1, o tipo de rede One Connected é alterado para Connected Network.
  • O VMM 2019 UR2 e posterior suporta IPv6.

Antes de começar

Certifique-se do seguinte antes de começar:

  • Planning: Leia sobre o planejamento de uma rede definida por software e revise a topologia de planejamento em este documento. O diagrama mostra um exemplo de configuração de 4 nós. A configuração é altamente disponível com três nós de controlador de rede (VM) e três nós SLB/MUX. Ele mostra Dois locatários com Uma rede virtual dividida em Duas sub-redes virtuais para simular uma camada da Web e uma camada de banco de dados. Tanto a infraestrutura quanto as máquinas virtuais locatárias podem ser redistribuídas em qualquer host físico.
  • Controlador de rede: Você deve implantar o controlador de rede antes de implantar o gateway RAS.
  • SLB: Para garantir que as dependências sejam tratadas corretamente, você também deve implantar o SLB antes de configurar o gateway. Se um SLB e um gateway estiverem configurados, você poderá usar e validar uma conexão IPsec.
  • Modelo de serviço: o VMM usa um modelo de serviço para automatizar a implantação do GW. Os modelos de serviço oferecem suporte à implantação de vários nós em VMs de Geração 1 e 2.

Etapas de implantação

Para configurar um gateway RAS, faça o seguinte:

  1. Baixe o modelo de serviço: Baixe o modelo de serviço necessário para implantar o GW.

  2. Criar a rede lógica VIP: Crie uma rede lógica GRE VIP. Ele precisa de um pool de endereços IP para VIPs privados e para atribuir VIPs a pontos de extremidade GRE. A rede existe para definir VIPs atribuídos a VMs de gateway em execução na malha SDN para uma conexão GRE site a site.

    Observação

    Para habilitar o suporte a pilha dupla, ao criar a rede lógica GRE VIP, adicione a sub-rede IPv6 ao site de rede e crie um pool de endereços IPv6. (aplicável para 2022 e seguintes)

  3. Importar o modelo de serviço: Importe o modelo de serviço de gateway RAS.

  4. Implantar o gateway: Implantar uma instância de serviço de gateway e configurar suas propriedades.

  5. Validar a implantação: Configurar GRE site-a-site, IPSec ou L3 e validar a implementação.

Baixe o modelo de serviço

  1. Baixe a pasta SDN do repositório GitHub Microsoft SDN e copie os modelos de Modelos de>do VMM> GW para um caminho local no servidor VMM.
  2. Extraia o conteúdo para uma pasta em um computador local. Você os importará para a biblioteca mais tarde.

O download contém dois modelos:

  • O modelo EdgeServiceTemplate_Generation 1 VM.xml destina-se a implantar o GW Service em máquinas virtuais de Geração 1.
  • A EdgeServiceTemplate_Generation 2 VM.xml é para a implementação do serviço GW em máquinas virtuais de Geração 2.

Ambos os modelos têm uma contagem padrão de três máquinas virtuais, que podem ser alteradas no designer de modelo de serviço.

Criar a rede lógica GRE VIP

  1. No console do VMM, execute o Assistente para Criar Rede Lógica. Introduza um Nome , opcionalmente forneça uma descrição e selecione Seguinte.
  1. Em Configurações, selecione Rede Única Conectada. Opcionalmente, você pode selecionar Criar uma rede VM com o mesmo nome. Essa configuração permite que as VMs acessem essa rede lógica diretamente. Selecione Gerenciado pelo controlador de redee selecione Avançar.
  • Para o VMM 2019 UR1 e posterior, em Configurações, selecione Rede Conectada, selecione Gerenciado pelo controlador de redee, em seguida, selecione Avançar.
  1. Em Configurações, selecione Rede Conectada, selecione Gerenciado pelo controlador de redee, em seguida, selecione Avançar.

  1. Em Network Site, especifique as configurações:

    Aqui estão os valores de exemplo:

    • Nome da rede: GRE VIP
    • Sub-rede: 31.30.30.0
    • Máscara: 24
    • ID de VLAN no tronco: Não Aplicável
    • Porta de entrada: 31.30.30.1
  1. No Resumo, revise as configurações e conclua o assistente.

  1. Para usar IPv6, adicione a sub-rede IPv4 e IPV6 ao site de rede. Aqui estão os valores de exemplo:

    • Nome da rede: GRE VIP
    • Sub-rede: FD4A:293D:184F:382C::
    • Máscara: 64
    • ID de VLAN no tronco: Não Aplicável
    • Porta de entrada: FD4A:293D:184F:382C::1

  2. No Resumo, revise as configurações e conclua o assistente.

  1. Para usar o IPv4, adicione a sub-rede IPv4 ao site de rede e crie um pool de endereços IPv4. Aqui estão os valores de exemplo:

    • Nome da rede: GRE VIP
    • Sub-rede:
    • Máscara:
    • ID de VLAN no tronco: Não Aplicável
    • Porta de entrada:

  2. Para usar IPv6, adicione sub-redes IPv4 e IPV6 ao site de rede e crie um pool de endereços IPv6. Aqui estão os valores de exemplo:

    • Nome da rede: GRE VIP
    • Sub-rede: FD4A:293D:184F:382C::
    • Máscara: 64
    • ID de VLAN no tronco: Não Aplicável
    • Porta de entrada: FD4A:293D:184F:382C::1

  3. No Resumo, revise as configurações e conclua o assistente.

Criar um pool de endereços IP para endereços VIP GRE

Observação

A partir do VMM 2019 UR1 e posterior, pode criar um pool de endereços IP utilizando o assistente Criar Rede Lógica.

Observação

Você pode criar um pool de endereços IP usando o assistente Create Logical Network.

  1. Clique com o botão direito do mouse na rede lógica GRE VIP >Criar Pool de IP.
  2. Insira um Nome e uma descrição opcional para o pool, e verifique se a rede VIP está selecionada. Selecione Avançar.
  3. Aceite o site de rede padrão e selecione Avançar.
  1. Escolha um endereço IP inicial e final para o seu intervalo. Inicie o intervalo no segundo endereço da sua sub-rede disponível. Por exemplo, se a sub-rede disponível for de .1 a .254, inicie o intervalo em .2.
  2. Na caixa dos endereços IP reservados para os VIPs do balanceador de carga, insira o intervalo de endereços IP na sub-rede. Isso deve corresponder ao intervalo que você usou para iniciar e terminar endereços IP.
  3. Você não precisa fornecer informações de gateway, DNS ou WINS, pois esse pool é usado para alocar endereços IP para VIPs apenas por meio do controlador de rede. Selecione Avançar para ignorar essas telas.
  4. No Resumo, revise as configurações e conclua o assistente.
  1. Se você tiver criado uma sub-rede IPv6, crie um pool de endereços VIP GRE IPv6 separado.
  2. Escolha um endereço IP inicial e final para o seu intervalo. Inicie o intervalo no segundo endereço da sua sub-rede disponível. Por exemplo, se a sub-rede disponível for de .1 a .254, inicie o intervalo em .2. Para especificar o intervalo VIP, não use a forma abreviada de endereço IPv6; Use o formato 2001:db8:0:200:0:0:7 em vez de 2001:db8:0:200::7.
  3. Na caixa dos endereços IP reservados para os VIPs do balanceador de carga, insira o intervalo de endereços IP na sub-rede. Isso deve corresponder ao intervalo que você usou para iniciar e terminar endereços IP.
  4. Você não precisa fornecer informações de gateway, DNS ou WINS, pois esse pool é usado para alocar endereços IP para VIPs apenas por meio do controlador de rede. Selecione Avançar para ignorar essas telas.
  5. No Resumo, revise as configurações e conclua o assistente.

Importar o modelo de serviço

  1. Selecione Biblioteca>Importar Modelo.
  2. Navegue até à pasta de modelo de serviço. Como exemplo, selecione o arquivo EdgeServiceTemplate Generation 2.xml.
  3. Atualize os parâmetros para seu ambiente à medida que você importa o modelo de serviço.

Observação

Os recursos da biblioteca foram importados durante a implantação do controlador de rede.

  • WinServer.vhdx: Selecione a imagem do disco rígido virtual que você preparou e importou anteriormente durante a implantação do controlador de rede.
  • EdgeDeployment.CR: Mapeie para o recurso de biblioteca EdgeDeployment.cr na biblioteca do VMM.

  1. Na página de Resumo , revise os detalhes e selecione Importar.

    Observação

    Você pode personalizar o modelo de serviço. Saiba mais.

Implantar o serviço de gateway

Para habilitar o IPv6, durante a integração do serviço Gateway, marque a caixa de seleção Habilitar IPv6 e selecione a sub-rede VIP GRE IPv6 que você criou anteriormente. Além disso, selecione pool IPv6 público e forneça o endereço IPv6 público.

Este exemplo usa o modelo Geração 2.

  1. Selecione o modelo de serviço EdgeServiceTemplate Generation2.xml e selecione Configurar Implantação.

  2. Insira um Nome e escolha um destino para a instância de serviço. O destino deve ser mapeado para um grupo de hosts que contenha os hosts configurados anteriormente para a implantação do gateway.

  3. Em Configurações de Rede, mapeie a rede de gestão para a rede de VM de gestão.

    Observação

    A caixa de diálogo Implantar Serviço é exibida após a conclusão do mapeamento. É normal que as instâncias de VM sejam inicialmente vermelhas. Selecione Atualizar visualização para encontrar automaticamente os hosts adequados para a VM.

  4. À esquerda da janela Configurar Implantação, defina as seguintes configurações:

    • Conta de administrador. Necessário. Selecione uma conta RunAs que será usada como administrador local nas VMs de gateway.
    • Rede de Gestão. Necessário. Escolha a rede VM de gerenciamento que você criou para o gerenciamento de host.
    • Conta de Gestão. Necessário. Selecione uma conta Run As com permissões para adicionar o gateway ao domínio do Ative Directory associado ao controlador de rede. Essa pode ser a mesma conta usada para MgmtDomainAccount durante a implantação do controlador de rede.
    • FQDN. Necessário. FQDN para o domínio do Ative Directory para o gateway.

  5. Selecione Implantar Serviço para iniciar o trabalho de implantação do serviço.

    Observação

    • Os tempos de implantação variam dependendo do hardware, mas normalmente variam entre 30 e 60 minutos. Se a implantação do gateway falhar, exclua a instância de serviço com falha em Todos os Hosts>Serviços antes de voltar a tentar a implantação.

    • Se não estiver a usar um VHDX com licença de volume (ou se a chave do produto não for fornecida através de um ficheiro de resposta), a implementação será interrompida na página da Chave do Produto durante o aprovisionamento da VM. Você precisa acessar manualmente a área de trabalho da VM e inserir a chave ou ignorá-la.

    • Se você quiser dimensionar ou expandir uma instância SLB implantada, leia este blog.

Limites do gateway

A seguir estão os limites padrão para o gateway gerenciado NC:

  • MaxVMNetworksSupported= 50
  • MaxVPNConnectionsPerVMNetwork= 10
  • MaxVMSubnetsSupported= 550
  • MaxVPNConnectionsSupported= 250

Observação

Para uma rede virtualizada SDNv2, uma sub-rede de roteamento interno é criada para cada rede VM. O limite MaxVMSubnetsSupported inclui as sub-redes internas criadas para redes de máquinas virtuais.

Você pode substituir os limites padrão definidos para o gateway gerido pelo controlador de rede. No entanto, ultrapassar o número limite para um valor mais elevado pode afetar o desempenho do controlador de rede.

Sobrescrever os limites do gateway

Para substituir os limites padrão, acrescente a string de substituição à cadeia de conexão do serviço do controlador de rede e atualize no VMM.

  • MaxVMNetworksSupported= seguido pelo número de redes VM que podem ser usadas com este gateway.
  • MaxVPNConnectionsPerVMNetwork= seguido pelo número de conexões VPN que podem ser criadas por rede VM com esse gateway.
  • MaxVMSubnetsSupported= seguido pelo número de sub-redes de rede VM que podem ser usadas com esse gateway.
  • MaxVPNConnectionsSupported= seguido pelo número de conexões VPN que podem ser usadas com esse gateway.

Exemplo:

Para substituir o número máximo de redes VM que podem ser usadas com o gateway para 100, atualize a cadeia de conexão da seguinte maneira:

serverurl=https://NCCluster.contoso.com;servicename=NC_VMM_RTM; MaxVMNetworksSupported==100

Configurar a função de gerenciador de gateway

Agora que o serviço de gateway está implantado, você pode configurar as propriedades e associá-lo ao serviço de controlador de rede.

  1. Selecione Fabric>Network Service para exibir a lista de serviços de rede instalados. Clique com o botão direito do rato no serviço do controlador de rede >Propriedades.

  2. Selecione a guia Serviços e selecione a Função de Gerenciador de Gateway .

  3. Encontre o campo Serviço Associado em Informações do Serviço, e selecione Procurar. Selecione a instância de serviço de gateway criada anteriormente e selecione OK.

  4. Selecione a conta Executar como que será usada pelo controlador de rede para acessar as máquinas virtuais do gateway.

    Observação

    A conta Run As deve ter privilégios de Administrador nas VMs de gateway.

  5. Em sub-rede VIP GRE, selecione a sub-rede VIP que criou anteriormente.

  1. Em pool público de IPv4, selecione o pool que configurou durante a implementação do SLB. Em endereço IPv4 público, insira um endereço IP do pool anterior e certifique-se de não selecionar os três primeiros endereços IP do intervalo.

  1. Para habilitar o suporte a IPv4, em pool IPv4 público, selecione o pool que você configurou durante a implantação do SLB. Em endereço IPv4 público, insira um endereço IP do pool anterior e certifique-se de não selecionar os três primeiros endereços IP do intervalo.

  2. Para ativar o suporte a IPv6, em Propriedades do Controlador de Rede >Serviços, selecione a caixa de seleção Ativar IPv6, escolha a sub-rede VIP GRE IPv6 que criou anteriormente e insira, respetivamente, o pool IPv6 público e o endereço IPv6 público. Além disso, selecione a sub-rede front-end IPv6 que será atribuída às VMs de Gateway.

    Captura de tela do IPv6 habilitado.

  3. Em Capacidade do Gateway, configure as definições de capacidade.

    A capacidade do gateway (Mbps) indica a largura de banda TCP normal esperada da VM do gateway. Você deve definir esse parâmetro com base na velocidade de rede subjacente usada.

    A largura de banda do túnel IPsec é limitada a (3/20) da capacidade do gateway. O que significa que, se a capacidade do gateway estiver definida para 1000 Mbps, a capacidade equivalente do túnel IPsec será limitada a 150 Mbps.

    Observação

    O limite de largura de banda é o valor total de largura de banda de entrada e largura de banda de saída.

    As proporções equivalentes para os túneis GRE e L3 são de 1/5 e 1/2, respectivamente.

  4. Configure o número de nós reservados para backup no campo de nós reservados para falhas.

  5. Para configurar VMs de gateway individuais, selecione cada VM e selecione a sub-rede de frontend IPv4, especifique o ASN local e, opcionalmente, adicione as informações do dispositivo de emparelhamento para o peer BGP.

Observação

Você deve configurar os pares BGP do gateway se planeja usar conexões GRE.

A instância de serviço implantada agora está associada à função de Gestor do gateway. Você deve ver a instância de VM do gateway listada sob ela.

  1. Em Capacidade do Gateway, configure as definições de capacidade.

    A capacidade do gateway (Mbps) indica a largura de banda TCP normal esperada da VM do gateway. Você deve definir esse parâmetro com base na velocidade de rede subjacente usada.

    A largura de banda do túnel IPsec é limitada a (3/20) da capacidade do gateway. O que significa que, se a capacidade do gateway estiver definida para 1000 Mbps, a capacidade equivalente do túnel IPsec será limitada a 150 Mbps.

    Observação

    O limite de largura de banda é o valor total de largura de banda de entrada e largura de banda de saída.

    As proporções equivalentes para os túneis GRE e L3 são de 1/5 e 1/2, respectivamente.

  2. Configure o número de nós reservados para backup no campo de nós reservados para falhas.

  3. Para configurar VMs de gateway individuais, selecione cada VM e selecione a sub-rede de frontend IPv4, especifique o ASN local e, opcionalmente, adicione as informações do dispositivo de emparelhamento para o peer BGP.

Observação

Você deve configurar os pares BGP do gateway se planeja usar conexões GRE.

A instância de serviço implantada agora está associada à função de Gestor do gateway. Você deve ver a instância de VM do gateway listada sob ela.

Validar a implantação

Depois de implantar o gateway, você pode configurar os tipos de conexão S2S GRE, S2S IPSec ou L3 e validá-los. Para obter mais informações, consulte o seguinte conteúdo:

Para obter mais informações sobre tipos de ligação, consulte o.

Configurar o seletor de tráfego do PowerShell

Aqui está o procedimento para configurar o seletor de tráfego usando o PowerShell do VMM.

  1. Crie o seletor de tráfego usando os seguintes parâmetros.

    Observação

    Os valores utilizados são apenas exemplos.

    $t= new-object Microsoft.VirtualManager.Remoting.TrafficSelector

$t.Type=7 // IPV4=7, IPV6=8

$t.ProtocolId=6 // TCP =6, reference: https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers

$t.PortEnd=5090

$t.PortStart=5080

$t.IpAddressStart=10.100.101.10

$t.IpAddressEnd=10.100.101.100

  2. Configure o seletor de tráfego acima usando parâmetro -LocalTrafficSelectors de Add-SCVPNConnection ou Set-SCVPNConnection.

Remova o gateway da estrutura SDN

Use estas etapas para remover o gateway da malha SDN.