Udostępnij za pośrednictwem

Zarządzanie połączeniami bramy lokalnej platformy Azure

  • Artykuł

Dotyczy: Azure Local, wersje 23H2 i 22H2; Windows Server 2022, Windows Server 2019, Windows Server 2016

W tym artykule opisano sposób tworzenia, usuwania i aktualizowania połączeń bramy przy użyciu Centrum administracyjnego systemu Windows po wdrożeniu sieci zdefiniowanej przez oprogramowanie (SDN). Bramy są używane do routingu ruchu sieciowego między siecią wirtualną a inną siecią lokalną lub zdalną. Istnieją trzy typy połączeń bramy — zabezpieczenia protokołu internetowego (IPsec), hermetyzacja routingu ogólnego (GRE) i warstwa 3 (L3).

Uwaga

Przed utworzeniem połączenia bramy bramy SDN należy wdrożyć. Ponadto należy wdrożyć programowe moduły równoważenia obciążenia (SLB) przed utworzeniem połączenia IPsec.

Aby uzyskać więcej informacji na temat bram dla sieci SDN, zobacz Co to jest brama RAS dla sieci SDN. Aby uzyskać więcej informacji na temat wdrażania sieci SDN, zobacz Wdrażanie infrastruktury SDN przy użyciu SDN Express.

Tworzenie nowego połączenia bramy IPsec

Połączenia bramy IPsec służą do zapewniania bezpiecznych połączeń szyfrowanych lokacja-lokacja między sieciami wirtualnymi SDN i zewnętrznymi sieciami klientów przez Internet.

Połączenie bramy protokołu IPsec sieci SDN.

  1. W centrum administracyjnym systemu Windows w obszarze Wszystkie połączenia wybierz system, na którym chcesz utworzyć połączenie bramy.
  2. W obszarze Narzędzia przewiń w dół do obszaru Sieć i wybierz pozycję Połączenia bramy.
  3. W obszarze Połączenia bramy wybierz kartę Spis , a następnie wybierz pozycję Nowy.
  4. W obszarze Tworzenie nowego połączenia bramy wprowadź nazwę połączenia
  5. Wybierz sieć wirtualną, dla której zostanie skonfigurowane połączenie bramy.
  6. Ustaw typ połączenia jako IPSEC.
  7. Wybierz pulę bramy dla połączenia. Domyślnie tworzona jest pula bramy o nazwie "DefaultAll". Możesz wybrać tę opcję lub utworzyć nową pulę bramy. Nową pulę bramy można utworzyć przy użyciu New-NetworkControllerGatewayPool polecenia cmdlet programu PowerShell. To polecenie cmdlet można uruchamiać bezpośrednio na maszynach wirtualnych kontrolera sieci lub uruchamiać je zdalnie przy użyciu poświadczeń.
  8. Wybierz podsieć bramy. Jest to podsieć w sieci wirtualnej, która jest używana specjalnie dla połączeń bramy. Adresy IP z tej podsieci będą aprowizowane na maszynach wirtualnych bramy. Jeśli nie masz skonfigurowanej podsieci bramy, dodaj ją do sieci wirtualnej, a następnie utwórz połączenie bramy. Ta podsieć może być mała, na przykład z prefiksem /30, /29 lub /28.
  9. Podaj wartość maksymalnej dozwolonej przepustowości ruchu przychodzącego (KBPS) i maksymalnej dozwolonej przepustowości ruchu wychodzącego (KBPS). Upewnij się, że podajesz wartość proporcjonalną do całkowitej pojemności bramy. Łączna pojemność jest dostarczana przez Ciebie w ramach wdrożenia bramy. Aby dowiedzieć się więcej na temat pojemności bramy i wpływu na nią przepustowości połączenia protokołu IPsec, zobacz Obliczanie pojemności bramy.
  10. Podaj docelowy adres IP dla połączenia. Jest to publiczny adres IP bramy zdalnej.
  11. Dodaj trasy dla połączenia. Każda trasa musi mieć metrykę trasy i prefiks podsieci docelowej. Wszystkie pakiety przeznaczone do tych prefiksów podsieci przejdą przez połączenie bramy.
  12. Podaj wspólny wpis tajny protokołu IPsec dla połączenia. Musi to być zgodne z typem uwierzytelniania (klucz wstępny) i udostępnionym wpisem tajnym skonfigurowanym w bramie zdalnej.
  13. W razie potrzeby podaj ustawienia zaawansowane protokołu IPsec.
  14. Kliknij przycisk Utwórz , aby skonfigurować połączenie.
  15. Na liście Połączenia bramy sprawdź, czy stan konfiguracji połączenia to Powodzenie.

Tworzenie nowego połączenia bramy GRE

Tunele oparte na protokole GRE umożliwiają łączność między sieciami wirtualnymi dzierżawy i sieciami zewnętrznymi. Ponieważ protokół GRE jest lekki, a obsługa protokołu GRE jest dostępna na większości urządzeń sieciowych, jest idealnym wyborem do tunelowania, gdy szyfrowanie danych nie jest wymagane.

Połączenie bramy SDN GRE.

  1. W centrum administracyjnym systemu Windows w obszarze Wszystkie połączenia wybierz system, na którym chcesz utworzyć połączenie bramy.
  2. W obszarze Narzędzia przewiń w dół do obszaru Sieć i wybierz pozycję Połączenia bramy.
  3. W obszarze Połączenia bramy wybierz kartę Spis , a następnie wybierz pozycję Nowy.
  4. W obszarze Utwórz nowe połączenie bramy wprowadź nazwę połączenia.
  5. Wybierz sieć wirtualną, dla której zostanie skonfigurowane połączenie bramy.
  6. Ustaw typ połączenia jako GRE.
  7. Wybierz pulę bramy dla połączenia. Domyślnie tworzona jest pula bramy o nazwie "DefaultAll". Możesz wybrać tę opcję lub utworzyć nową pulę bramy. Nową pulę bramy można utworzyć przy użyciu New-NetworkControllerGatewayPool polecenia cmdlet programu PowerShell. To polecenie cmdlet można uruchamiać bezpośrednio na maszynach wirtualnych kontrolera sieci lub uruchamiać je zdalnie przy użyciu poświadczeń.
  8. Wybierz podsieć bramy. Jest to podsieć w sieci wirtualnej, która jest używana specjalnie dla połączeń bramy. Adresy IP z tej podsieci będą aprowizowane na maszynach wirtualnych bramy. Jeśli nie masz skonfigurowanej podsieci bramy, dodaj ją do sieci wirtualnej, a następnie utwórz połączenie bramy. Ta podsieć może być mała, na przykład z prefiksem /30, /29 lub /28.
  9. Podaj wartość maksymalnej dozwolonej przepustowości ruchu przychodzącego (KBPS) i maksymalnej dozwolonej przepustowości ruchu wychodzącego (KBPS). Upewnij się, że podajesz wartość proporcjonalną do całkowitej pojemności bramy. Łączna pojemność jest dostarczana przez Ciebie w ramach wdrożenia bramy. Aby dowiedzieć się więcej na temat pojemności bramy i tego, jak wpływa na nią przepustowość połączenia GRE, zobacz Obliczanie pojemności bramy.
  10. Podaj docelowy adres IP dla połączenia. Jest to publiczny adres IP bramy zdalnej.
  11. Dodaj trasy dla połączenia. Każda trasa musi mieć metrykę trasy i prefiks podsieci docelowej. Wszystkie pakiety przeznaczone do tych prefiksów podsieci przejdą przez połączenie bramy.
  12. Podaj klucz GRE dla połączenia. Musi to być zgodne z kluczem GRE skonfigurowanym w bramie zdalnej.
  13. Kliknij przycisk Utwórz , aby skonfigurować połączenie.
  14. Na liście Połączenia bramy sprawdź, czy stan konfiguracji połączenia to Powodzenie.

Tworzenie połączenia L3

Przekazywanie L3 umożliwia łączność między infrastrukturą fizyczną w centrum danych a sieciami wirtualnymi SDN. W przypadku połączenia przekazującego L3 maszyny wirtualne sieci dzierżawczej mogą łączyć się z siecią fizyczną za pośrednictwem bramy SDN. W takim przypadku brama SDN działa jako router między siecią wirtualną SDN a siecią fizyczną.

Połączenie bramy SDN L3.

  1. W centrum administracyjnym systemu Windows w obszarze Wszystkie połączenia wybierz system, na którym chcesz utworzyć połączenie bramy.

  2. W obszarze Narzędzia przewiń w dół do obszaru Sieć i wybierz pozycję Połączenia bramy.

  3. W obszarze Połączenia bramy wybierz kartę Spis, a następnie wybierz pozycję Nowy.

  4. W obszarze Utwórz nowe połączenie bramy wprowadź nazwę połączenia.

  5. Wybierz sieć wirtualną, dla której zostanie skonfigurowane połączenie bramy.

  6. Ustaw typ połączenia jako L3.

  7. Wybierz pulę bramy dla połączenia. Domyślnie tworzona jest pula bramy o nazwie "DefaultAll". Możesz wybrać tę opcję lub utworzyć nową pulę bramy. Pulę bram można również utworzyć przy użyciu New-NetworkControllerGatewayPool polecenia cmdlet programu PowerShell. To polecenie cmdlet można uruchamiać bezpośrednio na maszynach wirtualnych kontrolera sieci lub uruchamiać je zdalnie przy użyciu poświadczeń.

  8. Wybierz podsieć bramy. Jest to podsieć w sieci wirtualnej, która jest używana specjalnie dla połączeń bramy. Adresy IP z tej podsieci będą aprowizowane na maszynach wirtualnych bramy. Jeśli nie masz skonfigurowanej podsieci bramy, dodaj ją do sieci wirtualnej, a następnie utwórz połączenie bramy. Ta podsieć może być mała, na przykład z prefiksem /30, /29 lub /28.

  9. Podaj wartość maksymalnej dozwolonej przepustowości ruchu przychodzącego (KBPS) i maksymalnej dozwolonej przepustowości ruchu wychodzącego (KBPS). Upewnij się, że podajesz wartość proporcjonalną do całkowitej pojemności bramy. Łączna pojemność jest dostarczana przez Ciebie w ramach wdrożenia bramy. Aby dowiedzieć się więcej na temat pojemności bramy i tego, jak wpływa na nią przepustowość połączenia L3, zobacz Obliczanie pojemności bramy.

    Uwaga

    W przypadku połączeń L3 maksymalna przepustowość ruchu przychodzącego i wychodzącego nie jest wymuszana. Jednak podane wartości są nadal używane do zmniejszenia dostępnej pojemności bramy, aby brama nie przekroczyła ani nie została aprowizowana.

  10. Dodaj trasy dla połączenia. Każda trasa musi mieć metrykę trasy i prefiks podsieci docelowej. Wszystkie pakiety przeznaczone do tych prefiksów podsieci przejdą przez połączenie bramy.

  11. Wybierz sieć dla sieci logicznej L3. Reprezentuje to sieć fizyczną, która chce komunikować się z siecią wirtualną. Należy skonfigurować tę sieć jako sieć logiczną SDN.

  12. Wybierz pozycję L3 Podsieć logiczna z sieci logicznej L3. Upewnij się, że podsieć ma skonfigurowaną sieć VLAN.

  13. Podaj adres IP dla maski L3 IP/podsieci. Musi należeć do podsieci logicznej L3 podanej powyżej. Ten adres IP jest skonfigurowany w interfejsie bramy SDN. Adres IP musi być podany w formacie CIDR (Classless Inter-Domain Routing).

  14. Podaj adres IP elementu równorzędnego L3. Musi należeć do podsieci logicznej L3 podanej powyżej. Ten adres IP będzie służyć jako następny przeskok, gdy ruch kierowany do sieci fizycznej z sieci wirtualnej osiągnie bramę SDN.

  15. Kliknij przycisk Utwórz , aby skonfigurować połączenie.

  16. Na liście Połączenia bramy sprawdź, czy stan konfiguracji połączenia to Powodzenie.

    Uwaga

    Jeśli planujesz wdrożyć połączenia bramy L3 z routingiem BGP, upewnij się, że skonfigurowano ustawienia protokołu BGP przełącznika Top of Rack (ToR) z następującymi ustawieniami:

    • update-source: określa adres źródłowy aktualizacji protokołu BGP, czyli L3 VLAN. Na przykład sieć VLAN 250.
    • multihop ebgp: określa dodatkowe przeskoki wymagane, ponieważ sąsiad protokołu BGP jest więcej niż jeden przeskok.

Wyświetlanie wszystkich połączeń bramy

Wszystkie połączenia bramy można łatwo wyświetlić w systemie.

Wyświetlanie połączeń bramy SDN.

  1. W centrum administracyjnym systemu Windows w obszarze Wszystkie połączenia wybierz system, dla którego chcesz wyświetlić połączenia bramy.

  2. W obszarze Narzędzia przewiń w dół do obszaru Sieć i wybierz pozycję Połączenia bramy.

  3. Karta Spis po prawej stronie zawiera listę dostępnych połączeń bramy i udostępnia polecenia do zarządzania poszczególnymi połączeniami bramy. Masz następujące możliwości:

    • Wyświetl listę połączeń bramy.
    • Zmień ustawienia połączenia bramy.
    • Usuń połączenie bramy.

Wyświetlanie szczegółów połączenia bramy

Szczegółowe informacje dotyczące określonego połączenia bramy można wyświetlić na stronie dedykowanej.

Wyświetl szczegóły bramy sieci SDN.

  1. W obszarze Narzędzia przewiń w dół i wybierz pozycję Połączenia bramy.

  2. Kliknij kartę Spis po prawej stronie, a następnie wybierz połączenie bramy. Na kolejnej stronie można wykonać następujące czynności:

    • Wyświetl szczegóły połączenia (typ, skojarzona sieć wirtualna, właściwości lub stan połączenia).
    • Brama, na której jest hostowane połączenie.
    • Wizualna reprezentacja połączenia z jednostką zdalną.
    • Wyświetl statystyki połączenia (bajty przychodzące/wychodzące, szybkość transferu danych lub porzucone pakiety).
    • Zmień ustawienia połączenia.

Zmienianie ustawień połączenia bramy

Możesz zmienić ustawienia połączenia dla połączeń IPsec, GRE i L3.

Zmień ustawienia połączenia bramy SDN.

  1. W obszarze Narzędzia przewiń w dół i wybierz pozycję Połączenia bramy.

  2. Kliknij kartę Spis po prawej stronie, wybierz połączenie bramy, a następnie wybierz pozycję Ustawienia.

  3. W przypadku połączeń IPsec:

    • Na karcie Ogólne można zmienić maksymalną dozwoloną przepustowość ruchu przychodzącego, maksymalną dozwoloną przepustowość ruchu wychodzącego, docelowy adres IP połączenia, dodać/zmienić/zmienić trasy i zmienić klucz wstępny protokołu IPsec.
    • Kliknij pozycję Ustawienia zaawansowane protokołu IPsec, aby zmienić ustawienia zaawansowane.

  4. W przypadku połączeń GRE: na karcie Ogólne można zmienić maksymalną dozwoloną przepustowość ruchu przychodzącego, maksymalną dozwoloną przepustowość wychodzącą, docelowy adres IP połączenia, dodać/zmienić/usunąć trasy i zmienić klucz GRE.

  5. W przypadku połączeń L3: na karcie Ogólne można zmienić maksymalną dozwoloną przepustowość ruchu przychodzącego, maksymalną dozwoloną przepustowość ruchu wychodzącego, dodać/zmienić/usunąć trasy, zmienić sieć logiczną L3, podsieć logiczną L3, adres IP L3 i adres IP elementu równorzędnego L3.

Usuwanie połączenia bramy

Jeśli połączenie bramy nie jest już potrzebne, możesz usunąć je.

Usuń połączenie bramy SDN.

  1. W obszarze Narzędzia przewiń w dół i wybierz pozycję Połączenia bramy.
  2. Kliknij kartę Spis po prawej stronie, a następnie wybierz połączenie bramy. Kliknij Usuń.
  3. W oknie dialogowym potwierdzenia kliknij przycisk Tak. Kliknij przycisk Odśwież , aby sprawdzić, czy połączenie bramy zostało usunięte.

Następne kroki