Delen via

Een SDN RAS-gateway instellen in de VMM-infrastructuur

  • Artikel

In dit artikel wordt beschreven hoe u een SDN RAS-gateway (Software Defined Networking) instelt in de Infrastructuur van System Center Virtual Machine Manager (VMM).

Een SDN RAS-gateway is een gegevenspadelement in SDN waarmee site-naar-site-connectiviteit tussen twee autonome systemen mogelijk is. Een RAS-gateway maakt site-naar-site-connectiviteit mogelijk tussen externe tenantnetwerken en uw datacenter met behulp van IPSec, Generic Routing Encapsulation (GRE) of Layer 3 Forwarding. Meer informatie.

Notitie

VMM 2025 en 2022 bieden ondersteuning voor dubbele stacks voor RAS-gateway.

Notitie

  • Van VMM 2019 UR1 wordt het netwerktype One Connected gewijzigd in Connected Network.
  • VMM 2019 UR2 en hoger ondersteunt IPv6.

Voordat u begint

Controleer het volgende voordat u begint:

  • Planning: lees meer over het plannen van een software-gedefinieerd netwerk en bekijk de planningstopologie in dit document. In het diagram ziet u een voorbeeld van een 4-knooppuntinstallatie. De installatie is maximaal beschikbaar met drie netwerkcontrollerknooppunten (VM) en drie SLB/MUX-knooppunten. Er worden twee tenants met één virtueel netwerk weergegeven, onderverdeeld in twee virtuele subnetten om een weblaag en een databaselaag te simuleren. Zowel de infrastructuur- als tenant-VM's kunnen opnieuw worden gedistribueerd over elke fysieke host.
  • netwerkcontroller: u moet de netwerkcontroller implementeren voordat u de RAS-gateway implementeert.
  • SLB-: om ervoor te zorgen dat afhankelijkheden correct worden verwerkt, moet u ook de SLB implementeren voordat u de gateway instelt. Als een SLB en een gateway zijn geconfigureerd, kunt u een IPsec-verbinding gebruiken en valideren.
  • Servicesjabloon: VMM maakt gebruik van een servicesjabloon om gw-implementatie te automatiseren. Servicesjablonen ondersteunen implementatie met meerdere knooppunten op vm's van de eerste en tweede generatie.

Implementatiestappen

Ga als volgt te werk om een RAS-gateway in te stellen:

  1. Download de servicesjabloon: Download de servicesjabloon die u nodig hebt om de GW te implementeren.

  2. Maak het logische VIP-netwerk: maak een logisch GRE VIP-netwerk. Er is een IP-adresgroep nodig voor privé-VIP's en om VIP's toe te wijzen aan GRE-eindpunten. Het netwerk bestaat om VIP's te definiëren die zijn toegewezen aan gateway-VM's die op het SDN-fabric worden uitgevoerd ten behoeve van een site-naar-site GRE-verbinding.

    Notitie

    Als u ondersteuning voor dubbele stack wilt inschakelen, voegt u tijdens het maken van een logisch GRE VIP-netwerk IPv6-subnet toe aan de netwerksite en maakt u een IPv6-adresgroep. (van toepassing op 2022 en hoger)

  3. Importeer de servicesjabloon: Importeer de RAS-gatewayservicesjabloon.

  4. De gateway implementeren: Een gatewayservice-exemplaar implementeren en de eigenschappen ervan configureren.

  5. Valideer de implementatie: Configureer site-naar-site GRE, IPSec of L3 en valideer de implementatie.

De servicesjabloon downloaden

  1. Download de SDN-map uit de Microsoft SDN GitHub-opslagplaats en kopieer de sjablonen van VMM>Templates>GW- naar een lokaal pad op de VMM-server.
  2. Pak de inhoud uit naar een map op een lokale computer. U importeert ze later in de bibliotheek.

De download bevat twee sjablonen:

  • De sjabloon EdgeServiceTemplate_Generation 1 VM.xml is voor het implementeren van de GW-service op virtuele machines van de eerste generatie.
  • De EdgeServiceTemplate_Generation 2 VM.xml is bedoeld voor het implementeren van de GW-service op virtuele machines van de tweede generatie.

Beide sjablonen hebben een standaardaantal van drie virtuele machines, die kunnen worden gewijzigd in de ontwerpfunctie voor servicesjablonen.

Het logische GRE VIP-netwerk maken

  1. Voer in de VMM-console de wizard Logisch netwerk maken uit. Voer een naamin, geef desgewenst een beschrijving op en selecteer Volgende.
  1. Ga in Settingsnaar One Connected Network. U kunt desgewenst Een VM-netwerk maken met dezelfde naamselecteren. Met deze instelling kunnen VM's rechtstreeks toegang krijgen tot dit logische netwerk. Selecteer beheerd door de netwerkcontrolleren selecteer Volgende.
  • Voor VMM 2019 UR1 en hoger selecteert u in InstellingenVerbonden netwerk, selecteert u beheerd door de netwerkcontrolleren selecteert u vervolgens Volgende.
  1. Selecteer in InstellingenVerbonden netwerk, selecteer beheerd door de netwerkcontrolleren selecteer vervolgens Volgende.

  1. Geef in netwerksitede instellingen op:

    Dit zijn de voorbeeldwaarden:

    • Netwerknaam: GRE VIP
    • Subnet: 31.30.30.0
    • Masker: 24
    • VLAN-id op trunk: NA
    • Gateway: 31.30.30.1
  1. Controleer in Samenvattingde instellingen en voltooi de wizard.

  1. Als u IPv6 wilt gebruiken, voegt u zowel het IPv4- als het IPV6-subnet toe aan de netwerksite. Dit zijn de voorbeeldwaarden:

    • Netwerknaam: GRE VIP
    • Subnet: FD4A:293D:184F:382C::
    • Masker: 64
    • VLAN-id op trunk: NA
    • Gateway: FD4A:293D:184F:382C::1

  2. Controleer in Samenvattingde instellingen en voltooi de wizard.

  1. Als u IPv4 wilt gebruiken, voegt u het IPv4-subnet toe aan de netwerksite en maakt u een IPv4-adresgroep. Dit zijn de voorbeeldwaarden:

    • Netwerknaam: GRE VIP
    • Subnet:
    • Masker:
    • VLAN-id op de trunk: NA
    • Gateway:

  2. Als u IPv6 wilt gebruiken, voegt u zowel IPv4- als IPV6-subnetten toe aan de netwerksite en maakt u een IPv6-adresgroep. Dit zijn de voorbeeldwaarden:

    • Netwerknaam: GRE VIP
    • Subnet: FD4A:293D:184F:382C::
    • Masker: 64
    • VLAN-id op Trunk: Niet van toepassing
    • Gateway: FD4A:293D:184F:382C::1

  3. Controleer de instellingen in Samenvattingen voltooi de wizard.

Een IP-adresgroep maken voor GRE VIP-adressen

Notitie

Vanuit VMM 2019 UR1 en hoger kunt u een IP-adresgroep maken met behulp van de wizard Logisch netwerk maken.

Notitie

U kunt een IP-adrespool maken met de wizard Logische netwerk maken.

  1. Klik met de rechtermuisknop op het logische GRE VIP-netwerk >Creëer IP Pool.
  2. Voer een -naam en optionele beschrijving voor de groep in en controleer of het VIP-netwerk is geselecteerd. Selecteer Volgende.
  3. Accepteer de standaardnetwerksite en selecteer Volgende.
  1. Kies een begin- en eind-IP-adres voor uw bereik. Start het bereik op het tweede adres van uw beschikbare subnet. Als uw beschikbare subnet bijvoorbeeld van .1 tot .254 is, start u het bereik op .2.
  2. Voer in het vak IP-adressen die zijn gereserveerd voor load balancer-VIP's het IP-adresbereik in het subnet in. Dit moet overeenkomen met het bereik dat u hebt gebruikt voor het starten en beëindigen van IP-adressen.
  3. U hoeft geen gateway-, DNS- of WINS-gegevens op te geven, omdat deze groep wordt gebruikt om ALLEEN IP-adressen voor VIP's toe te wijzen via de netwerkcontroller. Selecteer Volgende om deze schermen over te slaan.
  4. Controleer de instellingen in de samenvatting en voltooi de wizard.
  1. Als u een IPv6-subnet hebt gemaakt, maakt u een afzonderlijke VIP-adresgroep voor IPv6 GRE.
  2. Kies een begin- en eind-IP-adres voor uw bereik. Start het bereik op het tweede adres van uw beschikbare subnet. Als uw beschikbare subnet bijvoorbeeld van .1 tot .254 is, start u het bereik op .2. Gebruik voor het opgeven van VIP-bereik niet de verkorte vorm van het IPv6-adres; Gebruik de indeling 2001:db8:0:200:0:0:0:7 in plaats van 2001:db8:0:200::7.
  3. Voer in het vak met IP-adressen die gereserveerd zijn voor load balancer-VIP's het IP-adresbereik in het subnet in. Dit moet overeenkomen met het bereik dat u hebt gebruikt voor het starten en beëindigen van IP-adressen.
  4. U hoeft geen gateway-, DNS- of WINS-gegevens op te geven, omdat deze groep wordt gebruikt om ALLEEN IP-adressen voor VIP's toe te wijzen via de netwerkcontroller. Selecteer Volgende om deze schermen over te slaan.
  5. Controleer in Samenvattingde instellingen en voltooi de wizard.

De servicesjabloon importeren

  1. Selecteer Bibliotheek>Sjabloon importeren.
  2. Blader naar de map met servicesjablonen. Selecteer bijvoorbeeld het bestand EdgeServiceTemplate Generation 2.xml.
  3. Werk de parameters voor uw omgeving bij terwijl u de servicesjabloon importeert.

Notitie

De bibliotheekbronnen zijn geïmporteerd tijdens de implementatie van de netwerkcontroller.

  • WinServer.vhdx-: selecteer de afbeelding van de virtuele harde schijf die u eerder hebt voorbereid en geïmporteerd tijdens de implementatie van de netwerkcontroller.
  • EdgeDeployment.CR: wijs deze toe aan de EdgeDeployment.cr bibliotheekresource in de VMM-bibliotheek.

  1. Controleer de details op de pagina Samenvatting en selecteer Importeren.

    Notitie

    U kunt de servicesjabloon aanpassen. Meer informatie.

De gatewayservice implementeren

Als u IPv6 wilt inschakelen, schakelt u tijdens het onboarden van de gatewayservice het selectievakje IPv6- inschakelen in en schakelt u het VIP-subnet IPv6 GRE in dat u eerder hebt gemaakt. Selecteer ook een openbare IPv6-pool en geef het openbare IPv6-adres op.

In dit voorbeeld wordt de sjabloon Generatie 2 gebruikt.

  1. Kies de servicesjabloon EdgeServiceTemplate Generation2.xml en kies Implementatie configureren.

  2. Voer een naam inen kies een bestemming voor het service-exemplaar. Het doel moet worden toegewezen aan een hostgroep die de eerder geconfigureerde hosts voor gateway-implementatie bevat.

  3. Koppel in netwerkinstellingenhet beheernetwerk aan het beheer-VM-netwerk.

    Notitie

    Het dialoogvenster Service implementeren wordt weergegeven nadat de toewijzing is voltooid. Het is normaal dat de VM-exemplaren aanvankelijk rood zijn. Selecteer Preview- vernieuwen om automatisch geschikte hosts voor de virtuele machine te vinden.

  4. Aan de linkerkant van het venster Deployment configureren configureer de volgende instellingen:

    • AdminAccount. Vereist. Selecteer een RunAs-account dat wordt gebruikt als de lokale beheerder op de gateway-VM's.
    • Beheernetwerk. Vereist. Kies het beheer-VM-netwerk dat u hebt gemaakt voor hostbeheer.
    • Beheeraccount. Vereist. Selecteer een uitvoeren als-account met machtigingen om de gateway toe te voegen aan het Active Directory-domein dat is gekoppeld aan de netwerkcontroller. Dit kan hetzelfde account zijn dat wordt gebruikt voor MgmtDomainAccount tijdens het implementeren van de netwerkcontroller.
    • FQDN-. Vereist. FQDN voor het Active Directory-domein voor de gateway.

  5. Selecteer Service implementeren om de service-implementatietaak te starten.

    Notitie

    • De implementatietijden variëren afhankelijk van uw hardware, maar liggen meestal tussen 30 en 60 minuten. Als de implementatie van de gateway mislukt, verwijdert u het mislukte service-exemplaar in Alle hosts>Services voordat u de implementatie opnieuw probeert uit te voeren.

    • Als u geen VHDX met een volumelicentie gebruikt (of als de productcode niet wordt opgegeven met behulp van een antwoordbestand), stopt de implementatie op de pagina productcode tijdens het inrichten van de VM. U moet handmatig toegang krijgen tot het bureaublad van de virtuele machine en de sleutel invoeren of overslaan.

    • Als u een actief SLB-exemplaar wilt in- of uitbreiden, lees deze blogpost .

Gatewaylimieten

Hier volgen de standaardlimieten voor door NC beheerde gateway:

  • MaxVMNetworksSupported= 50
  • MaxVPNConnectionsPerVMNetwork= 10
  • MaxVMSubnetsSupported= 550
  • MaxVPNConnectionsSupported= 250

Notitie

Voor een gevirtualiseerd SDNv2-netwerk wordt voor elk VM-netwerk een intern routeringssubnet gemaakt. De limiet MaxVMSubnetsSupported omvat de interne subnetten die zijn gemaakt voor VM-netwerken.

U kunt de standaardlimieten overschrijven die zijn ingesteld voor de gateway die door de netwerkcontroller wordt beheerd. Het overschrijven van de limiet tot een hoger aantal kan echter van invloed zijn op de prestaties van de netwerkcontroller.

Gateway-limieten overschrijven

Als u de standaardlimieten wilt overschrijven, voegt u de overschrijvingsreeks toe aan de verbindingsreeks van de netwerkcontrollerservice en werkt u deze bij in VMM.

  • MaxVMNetworksSupported= gevolgd door het aantal VM-netwerken dat met deze gateway kan worden gebruikt.
  • MaxVPNConnectionsPerVMNetwork= gevolgd door het aantal VPN-verbindingen dat kan worden gemaakt per VM-netwerk met deze gateway.
  • MaxVMSubnetsSupported= gevolgd door het aantal VM-netwerksubnetten dat met deze gateway kan worden gebruikt.
  • MaxVPNConnectionsSupported= gevolgd door het aantal VPN-verbindingen dat met deze gateway kan worden gebruikt.

voorbeeld van:

Als u het maximum aantal VM-netwerken wilt overschrijven dat met de gateway naar 100 kan worden gebruikt, werkt u de verbindingsreeks als volgt bij:

serverurl=https://NCCluster.contoso.com;servicename=NC_VMM_RTM; MaxVMNetworksSupported==100

De gatewaybeheerrol configureren

Nu de gatewayservice is geïmplementeerd, kunt u de eigenschappen configureren en deze koppelen aan de netwerkcontrollerservice.

  1. Selecteer Fabric>Network Service om de lijst met geïnstalleerde netwerkservices weer te geven. Klik met de rechtermuisknop op de netwerkcontrollerservice >Eigenschappen.

  2. Selecteer het tabblad Services en selecteer de Gatewaybeheerrol.

  3. Zoek het veld gekoppelde service onder servicegegevensen selecteer Bladeren. Selecteer het gatewayservice-exemplaar dat u eerder hebt gemaakt en selecteer OK.

  4. Selecteer het Uitvoeren als-account dat door de netwerkcontroller wordt gebruikt voor toegang tot de virtuele gatewaymachines.

    Notitie

    Het Run As-account moet beheerdersbevoegdheden hebben op de gateway-VM's.

  5. Selecteer in GRE VIP-subnethet VIP-subnet dat u eerder hebt gemaakt.

  1. Selecteer in openbare IPv4-poolde groep die u tijdens de SLB-implementatie hebt geconfigureerd. Geef in openbaar IPv4-adreseen IP-adres op uit de vorige groep en zorg ervoor dat u niet de eerste drie IP-adressen uit het bereik selecteert.

  1. Als u IPv4-ondersteuning wilt inschakelen, selecteert u in openbare IPv4-poolde groep die u tijdens de implementatie van SLB hebt geconfigureerd. Geef in openbaar IPv4-adreseen IP-adres op uit de vorige groep en zorg ervoor dat u niet de eerste drie IP-adressen uit het bereik selecteert.

  2. Als u IPv6-ondersteuning wilt inschakelen, schakelt u in netwerkcontrollereigenschappen>Serviceshet selectievakje IPv6- inschakelen in, schakelt u het VIP-subnet IPv6-IPv6 in dat u eerder hebt gemaakt en voert u respectievelijk het openbare IPv6-adres en het openbare IPv6-adres in. Selecteer ook het IPv6-front-endsubnet dat wordt toegewezen aan gateway-VM's.

    Schermopname van ingeschakeld IPv6.

  3. Configureer de capaciteitsinstellingen in Gatewaycapaciteit.

    De gatewaycapaciteit (Mbps) geeft de normale TCP-bandbreedte aan die buiten de gateway-VM wordt verwacht. U moet deze parameter instellen op basis van de onderliggende netwerksnelheid die u gebruikt.

    De bandbreedte van de IPsec-tunnel is beperkt tot (3/20) van de gatewaycapaciteit. Dit betekent dat als de gatewaycapaciteit is ingesteld op 1000 Mbps, de equivalente IPsec-tunnelcapaciteit beperkt is tot 150 Mbps.

    Notitie

    De bandbreedtelimiet is de totale waarde van binnenkomende bandbreedte en uitgaande bandbreedte.

    De equivalente verhoudingen voor GRE- en L3-tunnels zijn respectievelijk 1/5 en 1/2.

  4. Configureer het aantal gereserveerde knooppunten voor back-up in het veld Knooppunten gereserveerd voor fouten.

  5. Als u afzonderlijke gateway-VM's wilt configureren, selecteert u elke VIRTUELE machine en selecteert u het IPv4-subnet, geeft u de lokale ASN op en voegt u eventueel de peeringapparaatgegevens voor de BGP-peer toe.

Notitie

U moet de BGP-gateway-peers configureren als u GRE-verbindingen wilt gebruiken.

Het service-exemplaar dat u hebt geïmplementeerd, is nu gekoppeld aan de rol gatewaybeheer. U moet de gateway-VM-instantie zien die daaronder wordt vermeld.

  1. Configureer de capaciteitsinstellingen in Gateway-capaciteit.

    De gatewaycapaciteit (Mbps) geeft de normale TCP-bandbreedte aan die buiten de gateway-VM wordt verwacht. U moet deze parameter instellen op basis van de onderliggende netwerksnelheid die u gebruikt.

    De bandbreedte van de IPsec-tunnel is beperkt tot (3/20) van de gatewaycapaciteit. Dit betekent dat als de gatewaycapaciteit is ingesteld op 1000 Mbps, de equivalente IPsec-tunnelcapaciteit beperkt is tot 150 Mbps.

    Notitie

    De bandbreedtelimiet is de totale waarde van binnenkomende bandbreedte en uitgaande bandbreedte.

    De equivalente verhoudingen voor GRE- en L3-tunnels zijn respectievelijk 1/5 en 1/2.

  2. Configureer het aantal gereserveerde knooppunten voor back-up in het veld Knooppunten gereserveerd voor fouten.

  3. Als u afzonderlijke gateway-VM's wilt configureren, selecteert u elke VIRTUELE machine en selecteert u het IPv4-subnet, geeft u de lokale ASN op en voegt u eventueel de peeringapparaatgegevens voor de BGP-peer toe.

Notitie

U moet de BGP-gateway-peers configureren als u GRE-verbindingen wilt gebruiken.

Het service-exemplaar dat u hebt geïmplementeerd, is nu gekoppeld aan de rol gatewaybeheer. Je zou het gateway-VM-exemplaar moeten zien dat eronder vermeld staat.

De implementatie valideren

Nadat u de gateway hebt geïmplementeerd, kunt u S2S GRE-, S2S IPSec- of L3-verbindingstypen configureren en valideren. Zie de volgende inhoud voor meer informatie:

Zie dezevoor meer informatie over verbindingstypen.

De verkeerskiezer instellen vanuit PowerShell

Hier volgt de procedure voor het instellen van de verkeerskiezer met behulp van de VMM PowerShell.

  1. Maak de verkeersselector met behulp van de volgende parameters.

    Notitie

    Waarden die worden gebruikt, zijn alleen voorbeelden.

    $t= new-object Microsoft.VirtualManager.Remoting.TrafficSelector

$t.Type=7 // IPV4=7, IPV6=8

$t.ProtocolId=6 // TCP =6, reference: https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers

$t.PortEnd=5090

$t.PortStart=5080

$t.IpAddressStart=10.100.101.10

$t.IpAddressEnd=10.100.101.100

  2. Configureer de bovenstaande verkeersselector door de parameter -LocalTrafficSelectors van Add-SCVPNConnection of Set-SCVPNConnectionte gebruiken.

De gateway verwijderen uit de SDN-infrastructuur

Gebruik deze stappen om de gateway uit de SDN-infrastructuur te verwijderen.