Sdílet prostřednictvím

Nastavení brány SDN RAS v prostředcích infrastruktury VMM

  • Článek

Tento článek popisuje, jak nastavit bránu RAS softwarově definované sítě (SDN) v prostředcích infrastruktury nástroje System Center Virtual Machine Manager (VMM).

Brána SDN RAS je prvek cesty k datům v SDN, který umožňuje připojení typu site-to-site mezi dvěma autonomními systémy. Konkrétně brána RAS umožňuje připojení typu site-to-site mezi sítěmi vzdáleného tenanta a vaším datacentrem pomocí protokolu IPSec, obecného zapouzdření směrování (GRE) nebo předávání vrstvy 3. Další informace.

Poznámka:

VMM 2025 a 2022 poskytují podporu duálního zásobníku pro bránu RAS.

Poznámka:

  • Z VMM 2019 UR1 se typ jedné připojené sítě změní na Připojená síť.
  • VMM 2019 UR2 a novější podporuje protokol IPv6.

Než začnete

Než začnete, ujistěte se, že:

  • Plánování: Přečtěte si o plánování softwarově definované sítě a projděte si topologii plánování v tomto dokumentu. Diagram znázorňuje ukázkovou instalaci se 4 uzly. Nastavení je vysoce dostupné se třemi uzly síťového adaptéru (VM) a třemi uzly SLB/MUX. Zobrazuje dva tenanty s jednou virtuální sítí rozdělenou do dvou virtuálních podsítí pro simulaci webové vrstvy a databázové vrstvy. Infrastrukturu i virtuální počítače tenanta je možné distribuovat napříč libovolným fyzickým hostitelem.
  • Síťový adaptér: Před nasazením brány RAS musíte síťový adaptér nasadit.
  • SLB: Abyste měli jistotu, že se závislosti zpracovávají správně, musíte před nastavením brány nasadit také nástroj pro vyrovnávání zatížení. Pokud je nakonfigurovaný SLB a brána, můžete použít a ověřit připojení IPsec.
  • Šablona služby: Nástroj VMM používá šablonu služby k automatizaci nasazení GW. Šablony služeb podporují nasazení s více uzly na virtuálních počítačích 1. generace a 2. generace.

Postup nasazení

Pokud chcete nastavit bránu RAS, postupujte takto:

  1. Stáhněte si šablonu služby: Stáhněte si šablonu služby, kterou potřebujete k nasazení GW.

  2. Vytvořte logickou síť VIP: Vytvořte logickou síť GRE VIP. Potřebuje fond IP adres pro privátní VIRTUÁLNÍ IP adresy a přiřadit virtuální IP adresy ke koncovým bodům GRE. Síť existuje k definování virtuálních IP adres přiřazených k virtuálním počítačům brány spuštěným v prostředcích infrastruktury SDN pro připojení site-to-site GRE.

    Poznámka:

    Pokud chcete povolit podporu duálního zásobníku, při vytváření logické sítě GRE VIP přidejte podsíť IPv6 do síťové lokality a vytvořte fond adres IPv6. (platí pro rok 2022 a novější)

  3. Import šablony služby: Import šablony služby brány RAS.

  4. Nasaďte bránu: Nasaďte instanci služby brány a nakonfigurujte její vlastnosti.

  5. Ověřte nasazení: Nakonfigurujte protokol GRE typu site-to-site, IPSec nebo L3 a ověřte nasazení.

Stažení šablony služby

  1. Stáhněte složku SDN z úložiště Microsoft SDN GitHub a zkopírujte šablony ze šablon>VMM>GW do místní cesty na serveru VMM.
  2. Extrahujte obsah do složky v místním počítači. Později je naimportujete do knihovny.

Stažení obsahuje dvě šablony:

  • Šablona EdgeServiceTemplate_Generation 1 VM.xml slouží k nasazení služby GW na virtuální počítače generace 1.
  • EdgeServiceTemplate_Generation 2 VM.xml slouží k nasazení služby GW na virtuální počítače generace 2.

Obě šablony mají výchozí počet tří virtuálních počítačů, které je možné změnit v návrháři šablon služby.

Vytvoření logické sítě GRE VIP

  1. V konzole VMM spusťte Průvodce vytvořením logické sítě. Zadejte název, volitelně zadejte popis a vyberte Další.
  1. V nastavení vyberte Jednu připojenou síť. Volitelně můžete vybrat možnost Vytvořit síť virtuálních počítačů se stejným názvem. Toto nastavení umožňuje virtuálním počítačům přímý přístup k této logické síti. Vyberte Spravované síťovým adaptérem a vyberte Další.
  • Pro VMM 2019 UR1 a novější vyberte v Nastavení připojenou síť, vyberte Spravováno síťovým adaptérem a pak vyberte Další.
  1. V Nastavení vyberte Připojená síť, vyberte Spravováno síťovým adaptérem a pak vyberte Další.

  1. V síťové lokalitě zadejte nastavení:

    Tady jsou ukázkové hodnoty:

    • Název sítě: GRE VIP
    • Podsíť: 31.30.30.0
    • Maska: 24
    • ID sítě VLAN v kufru: NA
    • Brána: 31.30.30.1
  1. V souhrnu zkontrolujte nastavení a dokončete průvodce.

  1. Pokud chcete použít protokol IPv6, přidejte do síťové lokality podsíť IPv4 i IPV6. Tady jsou ukázkové hodnoty:

    • Název sítě: GRE VIP
    • Podsíť: FD4A:293D:184F:382C::
    • Maska: 64
    • ID sítě VLAN v kufru: NA
    • Brána: FD4A:293D:184F:382C::1

  2. V souhrnu zkontrolujte nastavení a dokončete průvodce.

  1. Pokud chcete použít protokol IPv4, přidejte podsíť IPv4 do síťové lokality a vytvořte fond adres IPv4. Tady jsou ukázkové hodnoty:

    • Název sítě: GRE VIP
    • Podsíť:
    • Maska:
    • ID sítě VLAN v kufru: NA
    • Brána:

  2. Pokud chcete použít protokol IPv6, přidejte do síťové lokality podsítě IPv4 i IPV6 a vytvořte fond adres IPv6. Tady jsou ukázkové hodnoty:

    • Název sítě: GRE VIP
    • Podsíť: FD4A:293D:184F:382C::
    • Maska: 64
    • ID sítě VLAN v kufru: NA
    • Brána: FD4A:293D:184F:382C::1

  3. V souhrnu zkontrolujte nastavení a dokončete průvodce.

Vytvoření fondu IP adres pro adresy GRE VIP

Poznámka:

V NÁSTROJI VMM 2019 UR1 a novějším můžete vytvořit fond IP adres pomocí průvodce vytvořením logické sítě .

Poznámka:

Fond IP adres můžete vytvořit pomocí průvodce vytvořením logické sítě .

  1. Klikněte pravým tlačítkem na logickou síť >GRE VIP Vytvořit fond IP adres.
  2. Zadejte název a volitelný popis fondu a zkontrolujte, jestli je vybraná síť VIP. Vyberte Další.
  3. Přijměte výchozí síťovou lokalitu a vyberte Další.
  1. Zvolte počáteční a koncovou IP adresu pro váš rozsah. Začněte rozsah na druhé adrese dostupné podsítě. Pokud je například vaše dostupná podsíť od 1 do 254, spusťte rozsah na 0,2.
  2. Do pole IP adres vyhrazených pro virtuální IP adresy nástroje pro vyrovnávání zatížení zadejte rozsah IP adres v podsíti. Musí se shodovat s rozsahem, který jste použili pro počáteční a koncovou IP adresu.
  3. Nemusíte zadávat informace o bráně, DNS nebo WINS, protože se tento fond používá k přidělování IP adres pro virtuální IP adresy pouze prostřednictvím síťového adaptéru. Výběrem možnosti Další tyto obrazovky přeskočíte.
  4. V souhrnu zkontrolujte nastavení a dokončete průvodce.
  1. Pokud jste vytvořili podsíť IPv6, vytvořte samostatný fond IPv6 GRE VIP adres.
  2. Zvolte počáteční a koncovou IP adresu pro váš rozsah. Začněte rozsah na druhé adrese dostupné podsítě. Pokud je například vaše dostupná podsíť od 1 do 254, spusťte rozsah na 0,2. Pro určení rozsahu VIRTUÁLNÍCH IP adres nepoužívejte zkrácenou formu IPv6 adresy; Použijte formát 2001:db8:0:200:0:0:0:7 místo formátu 2001:db8:0:200::7.
  3. Do pole IP adres vyhrazených pro virtuální IP adresy nástroje pro vyrovnávání zatížení zadejte rozsah IP adres v podsíti. Musí se shodovat s rozsahem, který jste použili pro počáteční a koncovou IP adresu.
  4. Nemusíte zadávat informace o bráně, DNS nebo WINS, protože se tento fond používá k přidělování IP adres pro virtuální IP adresy pouze prostřednictvím síťového adaptéru. Výběrem možnosti Další tyto obrazovky přeskočíte.
  5. V souhrnu zkontrolujte nastavení a dokončete průvodce.

Import šablony služby

  1. Vyberte šablonu importu knihovny>.
  2. Přejděte do složky šablony služby. Jako příklad vyberte soubor 2.xml generace EdgeServiceTemplate.
  3. Při importu šablony služby aktualizujte parametry pro vaše prostředí.

Poznámka:

Prostředky knihovny se naimportovaly během nasazení síťového adaptéru.

  • WinServer.vhdx: Vyberte image virtuálního pevného disku, kterou jste připravili a naimportovali dříve během nasazení síťového adaptéru.
  • EdgeDeployment.CR: Namapujte na prostředek knihovny EdgeDeployment.cr v knihovně VMM.

  1. Na stránce Souhrn zkontrolujte podrobnosti a vyberte Importovat.

    Poznámka:

    Šablonu služby můžete přizpůsobit. Další informace.

Nasazení služby brány

Pokud chcete povolit protokol IPv6, při připojování služby Brány zaškrtněte políčko Povolit IPv6 a vyberte podsíť IPv6 GRE VIP, kterou jste vytvořili dříve. Vyberte také veřejný fond IPv6 a zadejte veřejnou adresu IPv6.

V tomto příkladu se používá šablona 2. generace.

  1. Vyberte šablonu služby EdgeServiceTemplate Generation2.xml a vyberte Konfigurovat nasazení.

  2. Zadejte název a zvolte cíl instance služby. Cíl musí být namapován na skupinu hostitelů, která obsahuje hostitele nakonfigurované dříve pro nasazení brány.

  3. V nastavení sítě namapujte síť pro správu na síť virtuálních počítačů pro správu.

    Poznámka:

    Po dokončení mapování se zobrazí dialogové okno Nasadit službu . Je normální, aby instance virtuálních počítačů byly zpočátku červené. Výběrem možnosti Aktualizovat náhled automaticky najděte vhodné hostitele pro virtuální počítač.

  4. Na levé straně okna Konfigurovat nasazení nakonfigurujte následující nastavení:

    • AdminAccount. Povinný: Vyberte účet Spustit jako, který se použije jako místní správce na virtuálních počítačích brány.
    • Síť pro správu. Povinný: Zvolte síť virtuálních počítačů pro správu, kterou jste vytvořili pro správu hostitelů.
    • Účet pro správu Povinný: Vyberte účet Spustit jako s oprávněními pro přidání brány do domény služby Active Directory přidružené k síťovému adaptéru. Může se jednat o stejný účet, který se používá pro MgmtDomainAccount při nasazování síťového adaptéru.
    • Plně kvalifikovaný název domény. Povinný: Plně kvalifikovaný název domény domény služby Active Directory pro bránu

  5. Výběrem možnosti Nasadit službu zahajte úlohu nasazení služby.

    Poznámka:

    • Časy nasazení se budou lišit v závislosti na vašem hardwaru, ale obvykle jsou mezi 30 a 60 minut. Pokud se nasazení brány nezdaří, před opakováním nasazení odstraňte instanci neúspěšné služby ve všech>hostitelských službách.

    • Pokud nepoužíváte multilicenční soubor VHDX (nebo kód Product Key není dodán pomocí souboru odpovědí), nasazení se během zřizování virtuálního počítače zastaví na stránce kódu Product Key . Potřebujete ručně získat přístup k desktopové verzi virtuálního počítače a buď zadat klíč, nebo ho přeskočit.

    • Pokud chcete škálovat nebo škálovat nasazenou instanci SLB, přečtěte si tento blog.

Limity brány

Výchozí omezení pro bránu spravovanou síťovým adaptérem jsou následující:

  • MaxVMNetworksSupported= 50
  • MaxVPNConnectionsPerVMNetwork= 10
  • MaxVMSubnetsSupported= 550
  • MaxVPNConnectionsSupported= 250

Poznámka:

Pro virtualizovanou síť SDNv2 se vytvoří interní podsíť směrování pro každou síť virtuálních počítačů. Limit MaxVMSubnetsSupported zahrnuje interní podsítě vytvořené pro sítě virtuálních počítačů.

Výchozí limity nastavené pro bránu spravovanou síťovým adaptérem můžete přepsat. Přepsání limitu na vyšší číslo ale může mít vliv na výkon síťového adaptéru.

Přepsání limitů brány

Pokud chcete přepsat výchozí limity, připojte řetězec přepsání ke službě síťového adaptéru připojovací řetězec a aktualizujte v nástroji VMM.

  • MaxVMNetworksSupported= následovaný počtem sítí virtuálních počítačů, které se dají s touto bránou použít.
  • MaxVPNConnectionsPerVMNetwork= následovaný počtem připojení VPN, která se dá vytvořit pro síť virtuálních počítačů s touto bránou.
  • MaxVMSubnetsSupported= následovaný počtem podsítí sítě virtuálních počítačů, které se dají s touto bránou použít.
  • MaxVPNConnectionsSupported= následovaný počtem připojení VPN, která se dá s touto bránou použít.

Příklad:

Pokud chcete přepsat maximální počet sítí virtuálních počítačů, které je možné použít s bránou na 100, aktualizujte připojovací řetězec následujícím způsobem:

serverurl=https://NCCluster.contoso.com;servicename=NC_VMM_RTM; MaxVMNetworksSupported==100

Konfigurace role správce brány

Teď, když je služba brány nasazená, můžete nakonfigurovat vlastnosti a přidružit ji ke službě síťového adaptéru.

  1. Výběrem síťové služby Fabric>zobrazíte seznam nainstalovaných síťových služeb. Klikněte pravým tlačítkem myši na vlastnosti služby >síťového adaptéru.

  2. Vyberte kartu Služby a vyberte roli Správce brány.

  3. V části Informace o službě vyhledejte pole Přidružená služba a vyberte Procházet. Vyberte instanci služby brány, kterou jste vytvořili dříve, a vyberte OK.

  4. Vyberte účet Spustit jako, který bude síťový adaptér používat pro přístup k virtuálním počítačům brány.

    Poznámka:

    Účet Spustit jako musí mít na virtuálních počítačích brány oprávnění správce.

  5. V podsíti GRE VIP vyberte podsíť VIP, kterou jste vytvořili dříve.

  1. Ve veřejném fondu IPv4 vyberte fond, který jste nakonfigurovali během nasazování SLB. Ve veřejné IPv4 adrese zadejte IP adresu z předchozího fondu a ujistěte se, že nevyberete počáteční tři IP adresy z rozsahu.

  1. Pokud chcete povolit podporu IPv4, vyberte ve veřejném fondu IPv4 fond, který jste nakonfigurovali během nasazování SLB. Ve veřejné IPv4 adrese zadejte IP adresu z předchozího fondu a ujistěte se, že nevyberete počáteční tři IP adresy z rozsahu.

  2. Pokud chcete povolit podporu protokolu IPv6, zaškrtněte v části Služby vlastností>síťového adaptéru políčko Povolit IPv6, vyberte podsíť IPv6 GRE VIP, kterou jste vytvořili dříve, a zadejte veřejný fond IPv6 a veřejnou adresu IPv6. Vyberte také front-endovou podsíť IPv6, která se přiřadí virtuálním počítačům brány.

    Snímek obrazovky s povolením protokolu IPv6

  3. V části Kapacita brány nakonfigurujte nastavení kapacity.

    Kapacita brány (Mb/s) označuje normální šířku pásma PROTOKOLU TCP, která se očekává z virtuálního počítače brány. Tento parametr musíte nastavit na základě rychlosti základní sítě, kterou používáte.

    Šířka pásma tunelu IPsec je omezená na kapacitu brány (3/20). To znamená, že pokud je kapacita brány nastavená na 1000 Mb/s, bude ekvivalentní kapacita tunelu IPsec omezená na 150 Mb/s.

    Poznámka:

    Limit šířky pásma je celková hodnota příchozí šířky pásma a odchozí šířky pásma.

    Ekvivalentní poměry pro tunely GRE a L3 jsou 1/5 a 1/2.

  4. Nakonfigurujte počet rezervovaných uzlů pro zálohování v uzlech pro vyhrazené pole selhání.

  5. Pokud chcete nakonfigurovat jednotlivé virtuální počítače brány, vyberte každý virtuální počítač a vyberte front-endovou podsíť IPv4, zadejte místní ASN a volitelně přidejte informace o partnerském zařízení partnerského vztahu protokolu BGP.

Poznámka:

Pokud plánujete používat připojení GRE, musíte nakonfigurovat partnerské vztahy protokolu BGP brány.

Instance služby, kterou jste nasadili, je teď přidružená k roli Správce brány. Pod ní musí být uvedená instance virtuálního počítače brány.

  1. V části Kapacita brány nakonfigurujte nastavení kapacity.

    Kapacita brány (Mb/s) označuje normální šířku pásma PROTOKOLU TCP, která se očekává z virtuálního počítače brány. Tento parametr musíte nastavit na základě rychlosti základní sítě, kterou používáte.

    Šířka pásma tunelu IPsec je omezená na kapacitu brány (3/20). To znamená, že pokud je kapacita brány nastavená na 1000 Mb/s, bude ekvivalentní kapacita tunelu IPsec omezená na 150 Mb/s.

    Poznámka:

    Limit šířky pásma je celková hodnota příchozí šířky pásma a odchozí šířky pásma.

    Ekvivalentní poměry tunelů GRE a L3 jsou 1/5 a 1/2.

  2. Nakonfigurujte počet rezervovaných uzlů pro zálohování v uzlech pro vyhrazené pole selhání.

  3. Pokud chcete nakonfigurovat jednotlivé virtuální počítače brány, vyberte každý virtuální počítač a vyberte front-endovou podsíť IPv4, zadejte místní ASN a volitelně přidejte informace o partnerském zařízení partnerského vztahu protokolu BGP.

Poznámka:

Pokud plánujete používat připojení GRE, musíte nakonfigurovat partnerské vztahy protokolu BGP brány.

Instance služby, kterou jste nasadili, je teď přidružená k roli Správce brány. Pod ní musí být uvedená instance virtuálního počítače brány.

Ověření nasazení

Po nasazení brány můžete nakonfigurovat typy připojení S2S GRE, S2S IPSec nebo L3 a ověřit je. Další informace najdete v následujícím obsahu:

Další informace otypech

Nastavení selektoru provozu z PowerShellu

Tady je postup nastavení selektoru provozu pomocí PowerShellu VMM.

  1. Pomocí následujících parametrů vytvořte selektor provozu.

    Poznámka:

    Použité hodnoty jsou pouze příklady.

    $t= new-object Microsoft.VirtualManager.Remoting.TrafficSelector

$t.Type=7 // IPV4=7, IPV6=8

$t.ProtocolId=6 // TCP =6, reference: https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers

$t.PortEnd=5090

$t.PortStart=5080

$t.IpAddressStart=10.100.101.10

$t.IpAddressEnd=10.100.101.100

  2. Pomocí parametru -LocalTrafficSelectors add-SCVPNConnection nebo Set-SCVPNConnection nakonfigurujte výše uvedený selektor provozu.

Odebrání brány z prostředků infrastruktury SDN

Pomocí těchto kroků odeberte bránu z prostředků infrastruktury SDN.