2012 R2 新增功能:混合网络连接
我们在 2012 R2 愿景文档中想要表达的一个基本诉求是履行承诺,帮助您转型数据中心。这是实现混合 IT 这一承诺中的核心部分。
通过专注于混合 IT,我们对一个事实给予了特别的关注,即在规划过程中与我们交互的几乎每一名客户都相信今后他们将从多个云中利用容量。这可能采用组织支持多个私有云的形式,或使用服务提供商或诸如 Azure 等公有云提供的容量,抑或使用从公有云运行的 SaaS 解决方案。
我们假定混合 IT 能够成为今后的一项规范,因此我们要求自己真正理解并简化与在多云环境中配置和运营相关的难题。当然,与在混合云环境中运营相关的最大难题与网络有关,即设置不同云之间的安全连接的所有内容,以确保您可使用您所选择的托管云和公有云中的 IP 地址 (BYOIP)。
就混合 IT 环境本身的特性而言,其设置、配置和运营是一个极为复杂的过程,因此我们花费了成百上千个小时用于开发 R2,以解决这个在整个行业中都较为普遍的问题。
借助 R2 版产品,特别是 Windows Server 2012 R2 和 System Center 2012 R2,企业现在能够从高度可用的安全连接中获益颇丰,在这些不同的云之间自由移动虚拟机。如果您希望或需要在云之间移动虚拟机或应用,那么整个移动过程将无缝进行,而且数据安全有所保障。
我们对混合 IT 部署支持的功能和可扩展性构建起来并不容易,每一项功能都经过系统测试,并在我们自己的数据中心中重新定义。例如,Azure 内每天将发生超过 50,000 次网络变更,现在每一项变更都已经实现完全自动化。如果即便是需要手动完成这些变更中 1% 的十分之一,那么这也需要众多员工不间断实施,然后排除人为错误才能完成。借助 R2,诸如此类的成功,以及我们从 Azure 中获取的经验跃然纸上。
无论您是服务提供商,还是企业 IT 部门的工作人员(在某种意义上来说,IT 工作人员就像是面向公司员工的服务提供商),这些混合网络连接功能都将免除您大量手动操作,让您专注于扩展和改进基础结构。
在本篇博文中,Vijay Tewari(Windows Server 和 System Center 首席项目经理)和 Bala Rajagopalan(Windows Server 和 System Center 首席项目经理)将详细概述 2012 R2 的混合网络连接功能,以及适用于常见应用场景的解决方案,如让客户创建横跨不同云的扩展网络,以及访问虚拟化的网络。
别忘了查看本博文底部的“后续步骤”部分,并关注明天发布的本周混合 IT 内容的第二半部分,该部分将介绍灾难恢复的主题。
* * *
混合网络连接是指将企业本地网络无缝扩展到服务提供商(混合或 Azure)云的能力,Microsoft 很多团队共同合作为我们的客户提供了这些端到端的体验和应用场景。
混合网络连接可让企业在云间轻松移动其虚拟机(和虚拟化的网络),同时保持 IP 地址和其他网络策略。借助混合网络连接,企业管理员能够将横跨本地云边界的复合网络视为一个单一的扩展网络。
随着企业不断从云端使用越来越多的容量,服务提供商也面临着一个日益紧迫的问题:如何简化数量与日俱增的租户的云迁移,同时最大程度降低其资本开支和运营开支?
混合网络连接将影响工作负荷迁移的难易程度和服务提供商的成本。为了最大化这一优势,我们构建了 Windows Server 2012 R2 和 Systems Center 2012 R2,以提供面向云优化的服务器和能够让服务提供商提供易于加入租户的高效混合网络的管理功能。
这些功能广泛分布于我们将在今天介绍的三个特定领域:
- 云连接
- 网络虚拟化
- 网络基础结构管理
本博文还将介绍 2012 R2 系列产品中介绍的三个关键应用场景。
云连接
Windows Server 2012 包含跨端网关功能,该功能可让企业站点使用标准 VPN 协议彼此连接,或连接到云。在 Windows Server 2012 R2 中,这一功能扩展到了成熟的点对点 (S2S) VPN 网关中,以支持云服务提供商和企业客户的要求(见下面的图文块 1)。
这些客户的要求包括:
- 增强的 S2S VPN
这一如既往地保留了行业标准 IPsec/IKEv2 隧道技术,但是其增加了两个方向中速率限制流量功能,并使用租户特定的流量筛选器。 - 多组织
一个(部署为虚拟机的)单一网关可支持来自多个客户的 S2S 连接,因而无需为各个客户分别部署网关,可节省服务提供商的成本。 - 高可用性
S2S VPN 网关可采用 1+1 配置部署,以获得高可用性 (HA)。 - 多站点拓扑结构和自动路由
客户的多个站点可通过 S2S 连接来连接到服务提供商云,该连接可使用行业标准的边界网关协议 (BGP) 通过不同连接自动确定可接触的目标。 - 与 Hyper-V 网络虚拟化集成,以隔离租户网络
超网络虚拟化 (HNV) 可让服务提供商和企业部署虚拟化的客户网络,该网络在流量彻底隔离的同一物理网络基础结构上包含重叠的 IP 地址。S2S VPN 网关将与 HNV 本机接触,以桥接客户在云中设置的虚拟化网络与其本地网络之间的流量。 - 集成网络地址转换器 (NAT)
在客户虚拟化网络中运行的应用能够使用内置的 NAT 功能直接访问 Internet 中的公共站点,而无需通过 S2S 连接和客户的本地网络来访问 Internet。 - VPN 访问
客户组织内的非本地用户能够使用内置的多租户 VPN 功能访问客户云中虚拟化网络内的虚拟机和服务。 - 与 Systems Center Virtual Machine Manager 集成(
网关的设置、配置和管理能够利用 System Center 2012 R2 的 Virtual Machine Manager (VMM) 即 VMM 2012 R2 完成,基于 Windows Azure Pack 的自助服务门户可以由服务提供商提供以创建和监控 S2S 连接。
网络虚拟化
借助 2012 R2 版本,我们进一步定义了 Hyper-V 可扩展交换机和 Hyper-V 网络虚拟化两项在 Windows Server 2012 中引入的功能。
Hyper-V 可扩展交换机现可支持第三方扩展以作为 HNV 封包前后的数据包,以丰富策略和筛选实施。此外,我们还推出了混合转发支持。这可让不同的转发代理基于类型处理数据包,如 HNV 封包数据包或非 HNV 封包数据包。
这一影响巨大:多网络虚拟化解决方案(一个由 HNV 提供,另一个来自转发交换机扩展)可在同一 Hyper-V 主机内共存。无论哪一代理执行转发计算,转发扩展都能够向数据包应用其他策略。此处包含 2012 R2 Hyper-V 可扩展交换机功能的更多详情。
HNV 现在还可支持动态 IP 地址查询、箱内 S2S 网关(本文已介绍)、为平衡负载而与 NIC 组合集成、高可用性,以及 NIC 供应商提供的 NVGRE 任务卸载支持。本博文介绍了有关这些元素的更多信息。
除了上述功能以外,R2 版本中的虚拟接收端扩展 (vRSS) 可让流量密集型工作负载负荷纵向扩展,以最优使用虚拟机中的高速 NIC (10G)。除此以外,我们还致力于改善诊断能力和降低运营开支,因此我们启用了近实时的远程数据包捕获和 ETW 跟踪,而无需登录目标计算机。
我们还使用 PowerShell 和 VMM 启用了物理交换机(具有基于标准的架构)的基本管理,因而能够实现跨所有主机和物理网络的某些自动诊断能力。最后,通过 VMM 可以实现部署和管理的完全自动化,通过 Windows Azure Pack 实现租户自助服务(如图文块 1 所示)。
如希望深入了解 R2 中网络虚拟化的增强功能,请查看“网络连接博客”中的最新博文。
网络基础结构管理
Windows Server 2012 IP 地址管理 (IPAM) 解决方案可支持核心 IP 地址、DHCP 和 DNS 管理功能。借助 R2 版本,IPAM 能够实施众多主要增强功能,如:
- 通过与 VMM 紧密集成,对物理网络和虚拟网络进行统一 IP 地址空间管理。
- 跨多个数据中心实现粒度以及基于角色的自定义访问控制和委派管理。
- 利用单一控制台,监控和管理跨数据中心的 DHCP 和 DNS 服务,特别是管理 DHCP 故障转移、DHCP 策略和筛选器。
- 对自动化工作流集成的全面 PowerShell 支持。
- 支持将 SQL Server 作为 IPAM 数据存储。
寻址和命名服务自身也有很多增强功能,包括 DNS 中按区域的查询指标支持,以及基于 FQND 的 DHCP 策略。图文块 1 中描述了宿主数据中心内 IPAM 的用法。
我们最近发布的有关 Windows Server 2012 R2 中 IPAM 的 TechNet 文章更加详细地介绍了这些功能增强。
现在,为了介绍这些技术是如何构建和捆绑在一起,作为针对 IT 专业人员和服务提供商常见应用场景的解决方案,我们在以下列出了三个应用场景,以介绍混合网络连接将如何提高基础结构环境的功能、可扩展性、弹性和可管理性。
应用场景 1: 让企业创建横跨其本地站点和服务提供商云的扩展网络。
我们在先前发布的 R2 系列博文中曾经介绍了我们让客户部署 IaaS 解决方案的集成方法,随着服务提供商和企业部署 IaaS,他们的客户反过来将把其虚拟机部署到这一容量之中。
过去,这些虚拟机将从服务提供商网络地址空间中获得 IP 地址,因此客户被迫需要重新编号其虚拟机,并重新考虑其网络环境。当网络虚拟化可用时,客户能够在服务提供商网络基础结构上方创建其自有的虚拟化网络,在虚拟化的网络中使用其自有的专用 IP 编号计划,并将其连接到其本地网络以创建跨本地基础结构和服务提供商云的扩展网络。
这一方法将动态简化从工作负荷向云以及从云向工作负荷的双向迁移。
这一应用场景通过组合两个关键方面而得以实现:首先,网络虚拟化让服务提供商能够使用重叠的 IP 地址在同一物理基础结构中运行多租户网络。其次,将服务提供商云内客户虚拟化网络连接回客户本地网络,以组建一个扩展网络。
为了进行这一部署,服务提供商将设置网络基础结构和一系列 S2S VPN 网关,以支持客户创建(虚拟化的)网络和 S2S 连接。接下来,客户将使用 Windows Azure Pack 门户自行设置其网络和 S2S 连接。
现在,让我们详细看看这个应用场景中的每一个步骤:
配置基础结构进行网络虚拟化,并部署网关虚拟机。
- 服务提供商管理员将使用 VMM 创建一个光纤网络,允许客户部署其虚拟网络。
- 在此之后,管理员将手动或使用 VMM 服务模板部署一系列虚拟机。
- 然后他将添加各台虚拟机作为 S2S 网关。
- 本指南中详细介绍了这些步骤。
部署 Windows Azure Pack
- 部署 Windows Azure Pack 可让客户自行设置其虚拟网络。
- 此处详细介绍了部署 Windows Azure Pack 的方法。
客户自行设置虚拟网络和 S2S 连接。
- 客户将登录服务提供商自助门户(通过部署 Windows Azure Pack 实现的),并在提供商的云中创建其虚拟化网络。
- 现在,客户能够为虚拟化网络选择其自有的 IP 编号计划,这通常来自客户的专用地址空间。
- 在此之后,他将通过指定其虚拟化网络中网关虚拟机地址、BGP 参数(可选)、本地站点 S2S VPN 网关公用地址以及通过连接可访问的本地地址空间(如果未配置 BGP)来设置 S2S 连接。
以下 Windows Azure 门户屏幕截图介绍了这些步骤。
首先,客户将在其定位了 S2S 网关的专用地址空间中指定子网,并(可选地)启用 BGP。客户还将指定在其虚拟化网络中运行的应用将使用的指定 DNS 服务器的地址。这可以是位于客户虚拟化网络或本地网络中的一台服务器,也可以是服务提供商提供的一台服务器。
接下来,他将指定虚拟网络需使用的 IP 地址空间。这通常来自客户的专用 IP 地址空间。
随后,客户将指定 BGP 参数,该参数通常包括虚拟化网络的自治系统编号 (ASN)、对等 BGP IP 地址和本地网络的 ASN。
这将通过在服务提供商端触发的 VMM 进行 BGP 配置(见以下屏幕截图)。BGP 也可由管理员使用此处介绍的脚本来配置,该方式可进行更详细的配置。
最后,客户将指定本地站点的名称、本地 S2S 网关的公用 IP 地址以及通过 S2S 连接可在本地站点上访问的 IP 地址。最后两个参数将用于按需设置从服务提供商端建立的 S2S 连接,并用于确定扩展网络中的哪一个目标将位于本地端(如果 BGP 未启用)。
在完成这些任务之后,客户将在其连接到服务提供商云的本地站点中部署一个 S2S 网关。这可以是一个现有第三方边缘设备,或 Windows Server 2012 R2 S2S 网关。
如果是前者,客户将使用客户特定的命令来建立 S2S 连接。如果是后者,客户可使用以下脚本来自动化网关的配置:
|
在客户本地路由配置
- 如图文块 1 所示,客户的扩展网络由本地网络和服务提供商云中的虚拟化网络组成。
- 客户的专用 IP 编号计划适用于这两类网络,一些客户的 IP 子网位于本地,而另一些 IP 子网则位于云端。
- 为了正确地在这些子网间路由流量,客户(来自 Microsoft 或第三方)现场的 S2S 网关必须将路由播发到位于云网关之内的子网。类似地,云网关必须将路由播发到客户虚拟化网络中的子网。
- 尽管 BGP 用于作为播发和维持各自网关中这些路由的协议,但是 BGP 本身应该知道应播发哪些路由。
- 在云端,需播发的路由通常在 S2S 网关中被设置成创建虚拟网络和 S2S 连接设置的一部分。
- 在客户端进行这一操作共有两个选项(如下所述)。
手动配置
- 可在本地网关手动配置应播发给 BGP 对等节点的本地路由。
- 类似地,通过本地网关可访问的云中路由必须在内部路由器中手动配置(见下文)。
- 手动配置的缺点在于每当本地或云端中可访问的子网中发生了变更,那么路由就需要重新配置。
使用内部路由协议路由交换
- 图文块 2(见下文)介绍了通过第三方边缘连接到托管云的客户站点的拓扑结构,其中第三方边缘还将作为一个 S2S 网关。
- BGP 协议需要确保这两端都有不同的自治系统号码 (ASN),该号码是协议中不可或缺的一个参数。
- 客户站点边缘设备将通过 BGP 获取托管于云中的虚拟子网路由 (10.2.1.0/24)。该设备还将把本地子网路由 (10.1.1.0/24) 播发给服务提供商 S2S 网关。
- 客户边缘路由器将通过以下机制中的一种来获取本地内部路由:
-
- 边缘设备将采用内部路由器来运行 BGP,并获取内部路由(本示例中为 10.1.1.0/24),或
- 边缘设备将实施一个内部网关协议 (IGP),如 OSPF、IS-IS、EIGRP、RIP 等,并直接参与内部路由。
在前一个情况中,内部路由器将从边缘设备中获取外部路由 (10.2.1.0/24),路由器必须使用 IGP 将这些路由分配给其他本地路由器。在后一个情况中,边缘设备自身必须使用其运行的 IGP 将外部路由分配给其他本地路由器。
以下图文块 3 中显示了一个这种拓扑结构的变体,其中 Windows Server 2012 R2 网关部署于客户站点中。
在这一配置中,S2S VPN 和 BGP 已在部署于边缘防火墙之后的 Windows Server 2012 R2 S2S 网关中终止。在这一示例中,由于网关并不支持 BGP 和任何 IGP 之间的路由分配,因此 S2S 网关仅可采用(上述)选项 1 来获取内部路由,并分配外部路由。
将多个本地站点连接到云
- 客户可能选择将多个本地站点连接到服务提供商云。一个单一站点可能不止一个面向云的 S2S 连接。
- 对 VMM 的一个要求是所有此类连接必须在云中的同一 S2S 网关中终止。借助多个 S2S 连接,可使用 BGP 来将流量从云端路由到本地的最佳路径。
- 例如,可为特定目标建立一个优于其他连接的 S2S 连接。
- 此外,如果连接发生故障,通过该连接的流量将被自动路由到其他连接中。
应用场景 2: 为虚拟化网络中的虚拟机启用直接 Internet 访问
在客户的虚拟化网络中运行的应用或服务可能需访问位于 Internet 中的资源,如公共 DNS 服务器、Web 服务等。这是很多部署中的一个常见要求。共有两类选项能够启用这一应用场景:
- 来自虚拟机的所有流量(包括 Internet 方向的流量)将通过 S2S 连接传输到客户端,并将根据客户端中的逻辑正确路由 Internet 方向的流量。从客户的观点来看,这可能不是向 Internet 路由流量或者从 Internet 路由流量的最优方式。
- S2S VPN 网关将识别 Internet 方向的流量,并将其直接路由到 Internet。客户很可能喜欢这一方法。
R2 版本可支持这两个选项。
服务提供商能够在 S2S VPN 网关中配置 NAT 功能,以从客户的虚拟化网络启用直接 Internet 访问。Windows Server 2012 R2 网关中的 NAT 功能可感知租户,并可让使用重叠 IP 地址的多个客户网络中的虚拟机访问同一 Internet IP 地址。
客户能够使用基于 Windows Azure Pack 的自助门户为其虚拟化网络激活 NAT。如果为虚拟网络启用了 S2S VPN 和 NAT,则 BGP 将获取网关上的客户路由,因此只有 Internet 流量将被 NAT 处理。
应用场景 3: 让用户远程访问其虚拟化网络中的虚拟机
在很多情况中,位于客户本地以外的用户需要访问客户虚拟化网络中可用的资源。
这类情况的例子包括灾难恢复,即备份或恢复在云端运行的虚拟机,并在发生灾难的情况下让用户访问该虚拟机。更常见的情况是,在非本地(包括公共热点)工作的用户需要访问在云中运行的服务。类似地,管理员可能需要在任何地方登录到云中部署的虚拟机。
为了支持这一应用场景,服务提供商能够使用 Windows Server 2012 R2 S2S VPN 网关中内置的远程访问 VPN 功能,通过 Internet 从不同设备访问客户虚拟化网络中的虚拟机或服务。
属于客户组织的用户能够使用行业标准的 IPsec/IKEv2 VPN,从诸如便携式计算机、平板电脑和智能手机等多个设备通过多租户 S2S 网关连接到云中的虚拟机或服务。如果设备位于不允许 IPsec 流量的防火墙或路由器之后,那么 SSTP (SSL) VPN 可用于连接到网关。SSTP VPN 将使用(端口 443)连接到网关,并遍历阻止任何非 http/https 流量的防火墙。
服务提供商还可实现多个客户在具有单一公用 IP 地址的同一网关(所有连接都使用端口 443)远程访问 VPN。多个客户可为 VPN 客户端使用重叠 IP 地址,R2 多租户功能可分离流量。所有 VPN 客户端连接将由网关直接进行身份验证,或使用服务提供商网络中的 RADIUS 服务器进行身份验证。
当用户通过 VPN 连接后,他可在云中适当的虚拟化网络中访问虚拟机,并通过 S2S VPN(如果设置)访问本地站点的网络。此处介绍了服务提供商可如何使用 PowerShell 脚本在 S2S VPN 网关中轻松启用多租户 VPN 网络。R2 版本中尚未推出这一 VMM 支持。
以下数据显示了为客户 Contoso 和 Fabrikam 启用 VPN 的 cmdlet:
|
* * *
Windows Server 2012 R2 和 System Center 2012 R2 为服务提供商提供了一系列高级功能,可以经济高效地、可靠地、大规模地实施混合网络搭建。这包括多租户 S2S 连接、NAT 和远程访问 VPN。结合使用 Windows Azure Pack、VMM 和 PowerShell 脚本,服务提供商可以轻松实现客户的自动化加入,并设置和管理所有混合网络功能。
我们将在明天继续介绍混合 IT 环境中的另外一个关键部分。利用企业级灾难恢复解决方案保护数据。这是行业中关注度较低的一个部分,我认为我们能够利用一些激动人心的功能来主动解决这一问题。
- Brad
后续步骤:
为了让您更深入了解本篇博文中所介绍的主题,请查看以下列出的工程博客和 TechEd 会议内容。
- 亟待转变的项目 MAT
该博文摘自热门博客构建云,更新了颇受好评的 VM 迁移工具包。 - Windows Server 2012 R2 中面向云服务的网络
在这一 TechEd Europe 的视频中,大会演示者介绍了 Windows Server 2012 R2 中核心网络基础结构服务(DNS、DHCP 和 IPAM)内的改进,以及如何在私有云、公有云和混合云环境中实施这些增强功能。 - 深度探索 Windows Server 2012 R2 中的 Hyper-V 网络
在这一 TechEd North America 的视频中,大会演示者探讨了 Hyper-V 网络虚拟化是在云中启用工作负荷移动性和 SDN 的关键投资的原因。大会深入介绍了 Hyper-V 网络虚拟化的工作原理。同时还介绍了 Windows Server 2012 R2 是如何让“客户”空前轻松地移动其工作负荷,并让“宿主”提高跨云的灵活性/自动化/控制程度。 - 如何设计和配置 Microsoft VMM 和 Hyper-V 中的网络
在这一 TechEd North America 的视频中,演示者探讨了 Hyper-V VMM 提供的用于配置网络的全面选项和配置设置。 - Windows Server 2012 R2 网络中的新增功能
在这一 TechEd North America 大会内容中,您可进一步了解 Microsoft 是如何利用其从全球网络数据中心中所汲取的经验,并将其应用到 Windows Server 2012 R2 的开发过程中。这一会议介绍了网络改进、IPAM 中的网络基础结构的增强功能、用于更好地满足虚拟化环境需求的安全远程访问,以及我们如何利用面向混合环境的箱内支持改进软件定义的网络。 - Windows Server 2012 R2 中 IPAM 的新增功能
这一技术概述介绍了基于角色的访问控制、虚拟地址空间管理、增强的 DHCP 服务器管理、外部数据库支持、升级/迁移支持,以及增强的 Windows PowerShell 支持。 - Windows Server 2012 R2 中的 Hyper-V 可扩展交换机增强功能
在本篇博文中,我们详细介绍了我们在 Windows Server 2012 R2 中为 Hyper-V 可扩展交换机所提供的增强功能。 - System Center 2012 R2 Virtual Machine Manager 中的新增功能
在这一 TechEd North America 会议中,演示者 Vijay Tewari 探讨了虚拟化、存储和网络中的创新、System Center 2012 R2 Virtual Machine Manager 中能够让客户实现新应用场景的新功能,以及面向现有应用场景的增强功能,并探讨了如何使用 SDN 为基于云的环境提高灵活性,以及可让用户轻松部署企业级工作负荷的增强功能。 - 测试实验指南:借助 System Center 2012 R2 VMM 实现 Windows Server 2012 R2 Hyper-V 网络虚拟化
有关如何使用运行 Windows Server 2012 R2 的计算机,并利用 System Center 2012 R2 Virtual Machine Manager (VMM) 虚拟化 Windows Server 2012 R2 的网络的技术指导。 - System Center 2012 R2 中 VMM 的新增功能
这一内容详细概述了网络、虚拟机管理、存储、服务和基础结构的增强功能。 - R2 中 Hyper-V 网络虚拟化的新增功能
在本篇博文中,我们将深入介绍 Windows Server 2012 R2 中 Hyper-V 网络虚拟化的新功能。 - 网络虚拟化技术详情
基于云的数据中心能够提供诸如提高可扩展性和资源利用率等众多优势。要实现这些潜在的好处,需要从根本上解决动态环境中多租户可扩展性问题的技术。Hyper-V 网络虚拟化旨在解决这些问题,同时提高数据中心的运营效率。 - 面向 Windows Server 的 Windows Azure Pack 的概述
这一深度白皮书评估了 Windows Azure pack 是如何为 Windows Server 和 System Center 搭建基础,以向多租户云基础结构服务提供企业级、经济高效的解决方案。服务提供商和企业客户可使用行业标准的软件、广阔应用平台支持和开放技术构建自定义的解决方案。 - System Center 2012 R2 和 Windows Azure Pack 的评估指南
本文档介绍了如何为租户和管理员门户设置和测试评估环境。 - Microsoft BGP 路由器配置自动化
该 PowerShell 脚本为在 Microsoft Windows Server 2012 R2 系统中的路由和远程访问服务器上配置 BGP 路由器(多租户模式和单租户模式)提供了一个易于使用的自动化界面。
Comments
- Anonymous
October 28, 2013
TMG目前不再支持新版操作系统,在云时代下,企业本地网络该选择微软哪款产品作为虚拟网关呢?