Estendere le subnet locali in Azure usando la rete estesa per Azure
Panoramica
La rete estesa per Azure consente di estendere una subnet locale in Azure per consentire alle macchine virtuali locali di mantenere gli indirizzi IP privati locali originali durante la migrazione ad Azure.
La rete viene estesa usando un tunnel VXLAN bidirezionale tra due macchine virtuali Windows Server 2019 che agiscono come appliance virtuali, una in esecuzione in locale e l'altra in esecuzione in Azure, ognuna connessa anche alla subnet da estendere. Ogni subnet che si intende estendere richiede una coppia di appliance. È possibile estendere più subnet usando più coppie.
Nota
La rete estesa per Azure deve essere usata solo per i computer in cui non è possibile modificare l'indirizzo IP durante la migrazione ad Azure. È sempre meglio modificare l'indirizzo IP e connetterlo a una subnet completamente esistente in Azure, se si tratta di un'opzione.
Pianificazione
Per prepararsi all'uso della rete estesa per Azure, è necessario identificare la subnet da estendere, quindi seguire questa procedura:
Pianificazione capacità
È possibile estendere fino a 250 indirizzi IP usando la rete estesa per Azure. È possibile prevedere una velocità effettiva aggregata di circa 700 Mbps, con una certa variabilità a seconda della velocità della CPU della rete estesa per le appliance virtuali di Azure.
Configurazione in Azure
Prima di usare Windows Admin Center, è necessario seguire questa procedura tramite il portale di Azure:
Creare una rete virtuale in Azure che contiene almeno due subnet, oltre alle subnet necessarie per la connessione gateway. Una delle subnet create deve usare la stessa subnet CIDR della subnet locale da estendere. La subnet deve essere univoca all'interno del dominio di routing in modo che non si sovrapponga ad alcuna subnet locale.
Configurare un gateway di rete virtuale per usare una connessione da sito a sito o ExpressRoute per connettere la rete virtuale alla rete locale.
Creare una macchina virtuale Windows Server 2022 Azure Edition in Azure in grado di eseguire la virtualizzazione annidata. Si tratta di una delle due appliance virtuali. Connettere l'interfaccia di rete primaria alla subnet instradabile e la seconda interfaccia di rete alla subnet estesa.
Nota
La rete estesa per Azure richiede Windows Server 2022 Azure Edition per la macchina virtuale in esecuzione in Azure.
Avviare la macchina virtuale, abilitare il ruolo Hyper-V e riavviare. Ad esempio:
Install-WindowsFeature -Name Hyper-V -IncludeManagementTools -Restart
Creare due commutatori virtuali esterni nella macchina virtuale e connetterli a ognuna delle interfacce di rete. Ad esempio:
New-VMSwitch -Name "External" -AllowManagementOS $true -NetAdapterName "Ethernet" New-VMSwitch -Name "Extended" -AllowManagementOS $true -NetAdapterName "Ethernet 2"
Configurazione locale
È anche necessario eseguire alcune configurazioni manuali nell'infrastruttura locale, inclusa la creazione di una macchina virtuale da usare come appliance virtuale locale:
Assicurarsi che le subnet siano disponibili nel computer fisico in cui si distribuirà la macchina virtuale locale (appliance virtuale). Ciò include la subnet che si vuole estendere e una seconda subnet univoca e non si sovrappone ad alcuna subnet nella rete virtuale di Azure.
Creare una macchina virtuale Windows Server 2019 o 2022 in qualsiasi hypervisor che supporti la virtualizzazione annidata. Si tratta dell'appliance virtuale locale. È consigliabile crearne una come macchina virtuale a disponibilità elevata in un cluster. Connettere una scheda di rete virtuale alla subnet instradabile e una seconda scheda di rete virtuale alla subnet estesa.
Avviare la macchina virtuale, quindi eseguire questo comando da una sessione di PowerShell nella macchina virtuale per abilitare il ruolo Hyper-V e riavviare la macchina virtuale:
Install-WindowsFeature -Name Hyper-V -IncludeManagementTools -Restart
Eseguire i comandi seguenti in una sessione di PowerShell nella macchina virtuale per creare due commutatori virtuali esterni nella macchina virtuale e connetterli a ognuna delle interfacce di rete:
New-VMSwitch -Name "External" -AllowManagementOS $true -NetAdapterName "Ethernet" New-VMSwitch -Name "Extended" -AllowManagementOS $true -NetAdapterName "Ethernet 2"
Prerequisiti aggiuntivi
Se si dispone di un firewall tra la rete locale e Azure, è necessario configurarlo per consentire il routing asimmetrico. Ciò può includere passaggi per disabilitare la casualità dei numeri di sequenza e abilitare il bypass dello stato TCP. Per questi passaggi, vedere la documentazione del fornitore del firewall.
Distribuisci
La distribuzione viene guidata tramite Windows Admin Center.
Installare e configurare Windows Admin Center
Scaricare e installare Windows Admin Center in qualsiasi computer in grado di eseguire Windows Admin Center, oltre alle due appliance virtuali create in precedenza.
In Windows Admin Center selezionare Impostazioni (nell'angolo superiore destro della pagina) >Estensioni. Selezionare quindi Estensioni:
Nella scheda Estensioni disponibili selezionare Rete estesa e quindi selezionare Installa.
Dopo alcuni secondi verrà visualizzato un messaggio che indica un'installazione riuscita.
Connettere Windows Admin Center ad Azure, se non è già stato fatto. Se si ignora ora questo passaggio, verrà chiesto di farlo più avanti nel processo.
In Windows Admin Center passare a Tutte le connessioni>Aggiungi e quindi selezionare Aggiungi nel riquadro Windows Server. Immettere il nome del server (e le credenziali, se necessario) per l'appliance virtuale locale.
.
Fare clic su Rete estesa per iniziare. La prima volta che verrà visualizzata una panoramica e un pulsante di configurazione:
Distribuire una rete estesa per Azure
Fare clic su Configura per avviare la configurazione.
Fare clic su Avanti per andare oltre la panoramica.
Nel pannello Carica pacchetto sarà necessario scaricare la rete estesa per il pacchetto dell'agente di Azure e caricarlo nell'appliance virtuale. Seguire le istruzioni nel pannello.
Importante
Scorrere verso il basso se necessario e fare clic su Carica prima di fare clic su Avanti: Installazione rete estesa.
Selezionare il CIDR subnet della rete locale da estendere. L'elenco delle subnet viene letto dall'appliance virtuale. Se l'appliance virtuale non è stata connessa al set corretto di subnet, non verrà visualizzata la subnet CIDR desiderata in questo elenco.
Fare clic su Avanti dopo aver selezionato il CIDR subnet.
Selezionare la sottoscrizione, il gruppo di risorse e la rete virtuale in cui si sta eseguendo l'estensione:
L'area (località di Azure) e la subnet vengono selezionate automaticamente. Selezionare Avanti: Installazione del gateway di rete estesa per continuare.
Si configureranno ora le appliance virtuali. Le informazioni del gateway locale devono essere popolate automaticamente:
Se l'aspetto è corretto, è possibile fare clic su Avanti.
Per l'appliance virtuale di Azure è necessario selezionare il gruppo di risorse e la macchina virtuale da usare:
Nota
L'elenco di macchine virtuali per l'appliance virtuale di Azure include solo macchine virtuali di Azure che contengono Windows Server 2022 Azure Edition. Se la macchina virtuale non viene visualizzata nell'elenco, assicurarsi che sia l'edizione di Azure e ricrearla in caso contrario.
Dopo aver selezionato la macchina virtuale, sarà anche necessario selezionare il CIDR della subnet del gateway di rete estesa di Azure. Fare quindi clic su Avanti: Distribuire.
Esaminare le informazioni di riepilogo e quindi fare clic su Distribuisci per avviare il processo di distribuzione. La distribuzione richiederà circa 5-10 minuti. Al termine della distribuzione, verrà visualizzato il pannello seguente per la gestione degli indirizzi IP estesi e lo stato dovrebbe indicare OK:
Gestire
Ogni indirizzo IP che si vuole raggiungere attraverso la rete estesa dovrà essere configurato. È possibile configurare fino a 250 indirizzi da estendere. Per estendere un indirizzo
Fare clic su Aggiungi indirizzi IPv4:
Verrà visualizzato il riquadro Aggiungi nuovi indirizzi IPv4 a comparsa a destra:
Usare il pulsante Aggiungi per aggiungere manualmente un indirizzo. Gli indirizzi aggiunti in locale saranno raggiungibili dagli indirizzi di Azure aggiunti all'elenco indirizzi di Azure e viceversa.
La rete estesa per Azure analizza la rete per individuare gli indirizzi IP e popola gli elenchi di suggerimenti in base a questa analisi. Per estendere questi indirizzi, è necessario usare l'elenco a discesa e selezionare la casella di controllo accanto all'indirizzo individuato. Non tutti gli indirizzi verranno individuati. Facoltativamente, usare il pulsante Aggiungi per aggiungere manualmente gli indirizzi che non vengono individuati automaticamente.
Al termine, fare clic su Invia. Verrà visualizzata la modifica dello stato in Aggiornamento, quindi Stato di avanzamento, infine tornare a OK al termine della configurazione.
Gli indirizzi sono ora estesi. Usare il pulsante Aggiungi indirizzi IPv4 per aggiungere indirizzi aggiuntivi in qualsiasi momento. Se un indirizzo IP non è più in uso in una delle due estremità della rete estesa, selezionare la casella di controllo accanto e selezionare Rimuovi indirizzi IPv4.
Se non si vuole più usare la rete estesa per Azure, fare clic sul pulsante Rimuovi rete estesa di Azure. In questo modo l'agente verrà disinstallato dalle due appliance virtuali e verranno rimossi gli indirizzi IP estesi. La rete smetterà di essere estesa. Sarà necessario eseguire di nuovo l'installazione dopo averlo rimosso, se si vuole iniziare a usare di nuovo la rete estesa.
Risoluzione dei problemi
Se si riceve un errore durante la distribuzione della rete estesa per Azure, seguire questa procedura:
Verificare che le appliance virtuali locali usino Windows Server 2019 o 2022. Verificare che l'appliance virtuale di Azure usi Windows Server 2022 Azure Edition.
Verificare di non eseguire Windows Admin Center in una delle appliance virtuali. È consigliabile eseguire Windows Admin Center da una rete locale.
Assicurarsi di poter accedere in remoto alla macchina virtuale locale dal gateway Windows Admin Center usando
enter-pssession
.Se è presente un firewall tra Azure e locale, verificare che sia configurato per consentire il traffico UDP sulla porta selezionata (impostazione predefinita 4789). Usare uno strumento come ctsTraffic per configurare un listener e un mittente. Verificare che il traffico possa essere inviato in entrambe le direzioni sulla porta specificata.
Usare pktmon per verificare che i pacchetti vengano inviati e ricevuti come previsto. Eseguire pktmon in ogni appliance virtuale:
Pktmon start –etw
Eseguire la rete estesa per la configurazione di Azure, quindi arrestare la traccia:
Pktmon stop Netsh trace convert input=<path to pktmon etl file>
Aprire il file di testo generato da ogni appliance virtuale e cercare il traffico UDP sulla porta specificata (impostazione predefinita 4789). Se viene visualizzato il traffico inviato dall'appliance virtuale locale, ma non ricevuto dall'appliance virtuale di Azure, è necessario verificare il routing e il firewall tra le appliance. Se viene visualizzato il traffico inviato dall'ambiente locale ad Azure, si dovrebbe vedere che l'appliance virtuale di Azure invia un pacchetto in risposta. Se tale pacchetto non viene mai ricevuto dall'appliance virtuale locale, è necessario verificare che il routing sia corretto e che non vi sia un firewall che blocca il traffico tra di loro.
Diagnosi del percorso dati dopo la configurazione iniziale
Dopo aver configurato la rete estesa per Azure, i problemi aggiuntivi che possono verificarsi sono in genere dovuti al blocco del traffico da parte dei firewall o al superamento di MTU se l'errore è intermittente.
Verificare che entrambe le appliance virtuali siano in esecuzione e operative.
Verificare che l'agente di rete esteso sia in esecuzione in ognuna delle appliance virtuali:
get-service extnwagent
Se lo stato non è In esecuzione, è possibile avviarlo con:
start-service extnwagent
Usare packetmon come descritto nel passaggio 5 precedente mentre il traffico viene inviato tra due macchine virtuali nella rete estesa per verificare che il traffico venga ricevuto dalle appliance virtuali, inviato sulla porta UDP configurata e quindi ricevuto e inoltrato dall'altra appliance virtuale.