在 VMM 构造中设置 SDN RAS 网关

本文介绍如何在 System Center - Virtual Machine Manager (VMM) 构造中设置软件定义的网络 (SDN) RAS 网关。

SDN RAS 网关是 SDN 中的数据路径元素，可实现两个自治系统间的站点到站点连接。 具体而言，RAS 网关使用 IPSec、通用路由封装 (GRE) 或第 3 层转发实现远程租户网络与数据中心之间的站点到站点连接。 了解详细信息。

注意

VMM 2022 为 RAS 网关提供双栈支持。

准备工作

开始前，确保以下方面：

• 规划：阅读如何规划软件定义的网络，并参看此文档中的规划拓扑。 该图展示了一个 4 节点设置示例。 该设置高度可用， (VM) 三个网络控制器节点和三个 SLB/MUX 节点。 该图展示了 2 个租户和 1 个分解为 2 个虚拟子网的虚拟网络，两个子网用于模拟 Web 层和数据库层。 基础结构和租户虚拟机均可在所有物理主机之间重新分布。
• 网络控制器：在部署 RAS 网关之前，应部署网络控制器。
• SLB：若要确保正确处理依赖关系，还应在设置网关前部署 SLB。 如果配置了 SLB 和网关，可使用和验证 IPsec 连接。
• 服务模板：VMM 使用服务模板实现 GW 部署自动化。 服务模板支持第 1 代和第 2 代 VM 上的多节点部署。

部署步骤

若要设置 RAS 网关，请执行以下操作：

1. 下载服务模板：下载 GW 部署时所需的服务模板。

2. 创建 VIP 逻辑网络：创建 GRE VIP 逻辑网络。 它需要专用 VIP 的 IP 地址池，并将 VIP 分配到 GRE 终结点。 网络是为了定义 VIP，这些 VIP 分配给在适合站点到站点连接的 SDN 构造上运行的网关 VM。

   注意

   若要启用双栈支持，请在创建 GRE VIP 逻辑网络时，将 IPv6 子网添加到网络站点并创建 IPv6 地址池。 （适用于 2022 及更高版本）

3. 导入服务模板：导入 RAS 网关服务模板。

4. 部署网关：部署网关服务实例，并配置其属性。

5. 验证部署：配置站点到站点 GRE、IPSec、或 L3，并验证部署。

下载服务模板

1. 从 Microsoft SDN GitHub 存储库下载 SDN 文件夹，并通过“VMM”“模板”“GW”将模板复制到 VMM 服务器上的本地路径。
2. 将内容提取到本地计算机的文件夹。 稍后将它们导入到库中。

下载内容包含两个模板：

• EdgeServiceTemplate_Generation 1 VM.xml 模板适用于在第 1 代虚拟机上部署 GW 服务。
• EdgeServiceTemplate_Generation 2 VM.xml 用于在第 2 代虚拟机上部署 GW 服务。

这两个模板的默认计数为三个虚拟机，可以在服务模板设计器中进行更改。

创建 GRE VIP 逻辑网络

1. 在 VMM 控制台中，运行“创建逻辑网络向导”。 键入 “名称”，根据需要提供说明，然后选择“ 下一步”。

2. 在 “设置”中，选择“ 连接的网络”，选择“ 由网络控制器管理”，然后选择“ 下一步”。

3. 在“网络站点”中，指定设置：

   下面是示例值：

   • 网络名称：GRE VIP
   • 子网：31.30.30.0
   • 掩码：24
   • Trunk 上的 VLAN ID：NA
   • 网关：31.30.30.1

4. 若要使用 IPv4，请将 IPv4 子网添加到网络站点并创建 IPv4 地址池。 下面是示例值：

   • 网络名称：GRE VIP
   • 子网：
   • 掩码：
   • Trunk 上的 VLAN ID：NA
   • 网关：

5. 若要使用 IPv6，请将 IPv4 和 IPv6 子网都添加到网络站点并创建 IPv6 地址池。 下面是示例值：

   • 网络名称：GRE VIP
   • 子网：FD4A:293D:184F:382C::
   • 掩码：64
   • Trunk 上的 VLAN ID：NA
   • 网关：FD4A:293D:184F:382C::1

6. 在“摘要”中，检查设置，然后完成向导。

创建 GRE VIP 地址的 IP 地址池

注意

可以使用“ 创建逻辑网络 ”向导创建 IP 地址池。

1. 右键单击 GRE VIP 逻辑网络 >“创建 IP 池”。
2. 键入池的名称和可选描述，并确保已选中 VIP 网络。 选择“下一页”。
3. 接受默认网络站点，然后选择“ 下一步”。

4. 如果已创建 IPv6 子网，请创建单独的 IPv6 GRE VIP 地址池。
5. 为范围选择开始和结束 IP 地址。 范围应从可用子网的第二个地址开始。 例如，如果可用子网为 .1 到 .254，则范围应从 .2 开始。 对于指定 VIP 范围，请勿使用 IPv6 地址的缩写形式;使用 2001：db8：0：200：0：0：0：7 格式，而不是 2001：db8：0：200：：7。
6. 在“为负载均衡器 VIP 保留的 IP 地址”框中，键入子网中的 IP 地址范围。 这应与用于开始和结束 IP 地址的范围相匹配。
7. 无需提供网关、DNS 或 WINS 信息，因为此池仅用于通过网络控制器为 VIP 分配 IP 地址。 选择“ 下一步 ”跳过这些屏幕。
8. 在“摘要”中，检查设置，然后完成向导。

导入服务模板

1. 选择“ 库>导入模板”。
2. 浏览到服务模板文件夹。 例如，选择“EdgeServiceTemplate Generation 2.xml”文件。
3. 导入服务模板时请更新环境参数。

注意

库资源是在网络控制器部署期间导入的。

• WinServer.vhdx：选择之前在网络控制器部署期间准备并导入的虚拟硬盘驱动器映像。
• EdgeDeployment.CR：映射到 VMM 库中的 EdgeDeployment.cr 库资源。

4. 在 “摘要 ”页上，查看详细信息并选择“ 导入”。

   注意

   可自定义服务模板。 了解详细信息。

部署网关服务

若要启用 IPv6，请在加入网关服务时选中“ 启用 IPv6 ”复选框，然后选择之前创建的 IPv6 GRE VIP 子网。 此外，选择公共 IPv6 池并提供公共 IPv6 地址。

此示例使用第 2 代模板。

1. 选择 “EdgeServiceTemplate Generation2.xml 服务模板”，然后选择“ 配置部署”。

2. 键入 “名称”，并选择服务实例的目标。 该目标必须映射到一个主机组，该组包含之前为部署网关配置的主机。

3. 在“网络设置”中，将管理网络映射到管理 VM 网络。

   注意

   映射完成后，将显示“ 部署服务 ”对话框。 VM 实例最初一般为红色。 选择“ 刷新预览 ”以自动查找适用于 VM 的主机。

4. 在“配置部署”窗口的左侧，配置以下设置：

   • AdminAccount。 必需。 选择要在网关 VM 上用作本地管理员的运行方式帐户。
   • 管理网络。 必需。 选择为主机管理创建的管理 VM 网络。
   • 帐户管理。 必需。 选择一个运行方式帐户，该帐户有权向关联了网络控制器的 Active Directory 域添加网关。 此帐户可与部署网络控制器时用于 MgmtDomainAccount 的帐户相同。
   • FQDN。 必需。 网关的 Active Directory 域的 FQDN。

5. 选择“ 部署服务 ”以开始服务部署作业。

   注意

   • 部署时间因硬件而异，但通常介于 30 到 60 分钟之间。 如果网关部署失败，请先通过“所有主机”“服务”删除失败的服务实例，然后重新尝试部署。

   • 如果未使用批量许可的 VHDX（或未使用答案文件提供产品密钥），则在 VM 设置期间，部署将停止于“产品密钥”页。 需要手动访问 VM 桌面，然后输入或跳过密钥。

   • 如果要横向扩展或横向扩展已部署的 SLB 实例，请阅读此 博客。

网关限制

以下是 NC 托管网关的默认限制：

• MaxVMNetworksSupported= 50
• MaxVPNConnectionsPerVMNetwork= 10
• MaxVMSubnetsSupported= 550
• MaxVPNConnectionsSupported= 250

注意

对于 SDNv2 虚拟网络，将为每个 VM 网络创建内部路由子网。 MaxVMSubnetsSupported 限制包括为 VM 网络创建的内部子网。

可以替代为网络控制器管理的网关设置的默认限制。 但提高上限可能会影响网络控制器的性能。

替代网关限制

若要替代默认限制，请将替代字符串追加到网络控制器服务连接字符串并在 VMM 中进行更新。

• MaxVMNetworksSupported= 后跟可与此网关一起使用的 VM 网络数。
• MaxVPNConnectionsPerVMNetwork= 后跟每个 VM 网络可使用此网关建立的 VPN 连接数。
• MaxVMSubnetsSupported= 后跟可与此网关一起使用的 VM 网络子网数。
• MaxVPNConnectionsSupported= 后跟可与此网关一起使用的 VPN 连接数。

示例：

若要将可与此网关一起使用的最大 VM 网络数替代为 100，则将连接字符串更新如下：

serverurl=https://NCCluster.contoso.com;servicename=NC_VMM_RTM; MaxVMNetworksSupported==100

配置网关管理器角色

部署网关服务后，可以配置属性并将其与网络控制器服务相关联。

1. 选择“ 构造>网络服务 ”以显示已安装的网络服务列表。 右键单击网络控制器服务 >“属性”。

2. 选择“ 服务 ”选项卡，然后选择“ 网关管理器角色”。

3. 在“服务信息”下找到“关联的服务”字段，然后选择“浏览”。 选择之前创建的网关服务实例，然后选择“ 确定”。

4. 选择“运行方式帐户”，网络控制器将使用此账户访问网关虚拟机。

   注意

   运行方式帐户必须具有网关 VM 的管理员特权。

5. 在“GRE VIP 子网”中，选择先前创建的 VIP 子网。

6. 若要启用 IPv4 地址，请在“公共 IPv4 池”中，选择在 SLB 部署期间配置的池。 在“公共 IPv4 地址”中，提供来自于上一个池的 IP 地址，并确保你不会选择从该范围寻址的三个初始 IP 地址。

7. 若要启用 IPv6 支持，请在 网络控制器属性>服务中，选中“ 启用 IPv6 ”复选框，选择之前创建的 IPv6 GRE VIP 子网，然后分别输入公共 IPv6 池和公共 IPv6 地址。 此外，选择将分配给网关 VM 的 IPv6 前端子网。

   

8. 在“网关容量”中，配置容量设置。

   网关容量 (Mbps) 表示网关 VM 外预期的正常 TCP 带宽。 必须根据所使用的基础网络速度来设置此参数。

   IPsec 隧道带宽限制为 (3/20) 的网关容量。 这意味着，如果设置的网关容量为 1000 Mbps，则等效 IPsec 隧道容量可限制为 150 Mbps。

   注意

   带宽限制是入站带宽值和出站带宽值的总和。

   GRE 和 L3 隧道的等效比率分别为 1/5 和 1/2。

9. 在“为故障保留的 节点数”字段中配置备份的预留节点数。

10. 若要配置单个网关 VM，请选择每个 VM 并选择 IPv4 前端子网，指定本地 ASN，并选择性地为 BGP 对等互连添加对等互连设备信息。

注意

如果计划使用 GRE 连接，则必须配置网关 BGP 对等方。

部署的服务实例现与网关管理器角色关联。 应看到它下面列出的网关 VM 实例。

注意

如果计划使用 GRE 连接，则必须配置网关 BGP 对等方。

部署的服务实例现与网关管理器角色关联。 应看到它下面列出的网关 VM 实例。

验证部署

部署网关后，可以配置 S2S GRE、S2S IPSec 或 L3 连接类型，并进行验证。 有关详细信息，请参阅以下内容：

• 创建并验证站点到站点 IPSec 连接
• 创建并验证站点到站点 GRE 连接
• 创建并验证 L3 连接

有关连接类型的详细信息，请参阅 此文。

通过 PowerShell 设置流量选择器

下面是使用 VMM PowerShell 设置流量选择器的过程。

1. 使用以下参数创建流量选择器。

   注意

   所用值仅用作示例。

   $t= new-object Microsoft.VirtualManager.Remoting.TrafficSelector
   
   $t.Type=7 // IPV4=7, IPV6=8
   
   $t.ProtocolId=6 // TCP =6, reference: https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers
   
   $t.PortEnd=5090
   
   $t.PortStart=5080
   
   $t.IpAddressStart=10.100.101.10
   
   $t.IpAddressEnd=10.100.101.100
   

2. 通过使用 Add-SCVPNConnection 或 Set-SCVPNConnection 的 -LocalTrafficSelectors 参数配置上述流量选择器。

从 SDN 构造中删除网关

使用这些步骤从 SDN 结构中删除网关。