Udostępnij za pośrednictwem

Konfigurowanie bramy RAS SDN w sieci szkieletowej programu VMM

  • Artykuł

W tym artykule opisano sposób konfigurowania bramy RAS programowalnej sieci komputerowej (SDN) w sieci szkieletowej programu System Center Virtual Machine Manager (VMM).

Brama RAS SDN jest elementem ścieżki danych w sieci SDN, który umożliwia łączność lokacja-lokacja między dwoma systemami autonomicznymi. W szczególności brama RAS umożliwia łączność lokacja-lokacja między zdalnymi sieciami dzierżawy a centrum danych przy użyciu protokołu IPSec, hermetyzacji ogólnego routingu (GRE) lub przekazywania w warstwie 3. Dowiedz się więcej.

Uwaga

Program VMM 2025 i 2022 zapewnia obsługę podwójnego stosu dla bramy RAS.

Uwaga

  • Z programu VMM 2019 UR1 jeden połączony typ sieci jest zmieniany na Połączona sieć.
  • Program VMM 2019 UR2 lub nowszy obsługuje protokół IPv6.

Przed rozpoczęciem

Przed rozpoczęciem upewnij się, że przed rozpoczęciem upewnij się, że:

  • Planowanie: Przeczytaj o planowaniu sieci zdefiniowanej przez oprogramowanie i przejrzyj topologię planowania w tym dokumencie. Na diagramie przedstawiono przykładową konfigurację 4-węzłową. Konfiguracja jest wysoce dostępna z trzema węzłami kontrolera sieci (VM) i trzema węzłami SLB/MUX. Przedstawia dwie dzierżawy z jedną siecią wirtualną podzieloną na dwie podsieci wirtualne w celu symulowania warstwy internetowej i warstwy bazy danych. Zarówno infrastruktura, jak i maszyny wirtualne dzierżawy mogą być redystrybuowane na dowolnym hoście fizycznym.
  • Kontroler sieci: przed wdrożeniem bramy RAS należy wdrożyć kontroler sieci.
  • SLB: aby upewnić się, że zależności są prawidłowo obsługiwane, należy również wdrożyć SLB przed skonfigurowaniem bramy. Jeśli skonfigurowano usługę SLB i bramę, możesz użyć i zweryfikować połączenie IPsec.
  • Szablon usługi: program VMM używa szablonu usługi do automatyzowania wdrażania bramy. Szablony usług obsługują wdrażanie wielu węzłów na maszynach wirtualnych generacji 1 i 2. generacji.

Kroki wdrażania

Aby skonfigurować bramę RAS, wykonaj następujące czynności:

  1. Pobierz szablon usługi: pobierz szablon usługi, który chcesz wdrożyć bramę.

  2. Utwórz sieć logiczną VIP: utwórz sieć logiczną adresów VIP GRE. Potrzebuje puli adresów IP dla prywatnych adresów VIP i przypisać adresy VIP do punktów końcowych GRE. Sieć istnieje, aby zdefiniować adresy VIP przypisane do maszyn wirtualnych bramy działających w sieci szkieletowej SDN na potrzeby połączenia GRE typu lokacja-lokacja.

    Uwaga

    Aby włączyć obsługę podwójnego stosu, podczas tworzenia sieci logicznej adresów VIP protokołu GRE dodaj podsieć IPv6 do lokacji sieciowej i utwórz pulę adresów IPv6. (dotyczy lat 2022 i nowszych)

  3. Zaimportuj szablon usługi: zaimportuj szablon usługi bramy RAS.

  4. Wdróż bramę: wdróż wystąpienie usługi bramy i skonfiguruj jej właściwości.

  5. Zweryfikuj wdrożenie: skonfiguruj protokół GRE typu lokacja-lokacja, protokół IPSec lub L3 i zweryfikuj wdrożenie.

Pobieranie szablonu usługi

  1. Pobierz folder SDN z repozytorium GitHub sieci Microsoft SDN i skopiuj szablony z bramy szablonów> programu VMM do ścieżki lokalnej na serwerze programu VMM.>
  2. Wyodrębnij zawartość do folderu na komputerze lokalnym. Później zaimportujesz je do biblioteki.

Pobieranie zawiera dwa szablony:

  • Szablon EdgeServiceTemplate_Generation 1 VM.xml służy do wdrażania usługi gw na maszynach wirtualnych 1. generacji.
  • EdgeServiceTemplate_Generation 2 VM.xml służy do wdrażania usługi GW na maszynach wirtualnych 2. generacji.

Oba szablony mają domyślną liczbę trzech maszyn wirtualnych, które można zmienić w projektancie szablonów usługi.

Tworzenie sieci logicznej adresów VIP protokołu GRE

  1. W konsoli programu VMM uruchom Kreatora tworzenia sieci logicznej. Wprowadź nazwę, opcjonalnie podaj opis, a następnie wybierz przycisk Dalej.
  1. W obszarze Ustawienia wybierz pozycję Jedna połączona sieć. Opcjonalnie możesz wybrać pozycję Utwórz sieć maszyn wirtualnych o tej samej nazwie. To ustawienie umożliwia maszynom wirtualnym bezpośredni dostęp do tej sieci logicznej. Wybierz pozycję Zarządzane przez kontroler sieci, a następnie wybierz przycisk Dalej.
  • W przypadku programu VMM 2019 UR1 i nowszych w obszarze Ustawienia wybierz pozycję Połączona sieć, wybierz pozycję Zarządzana przez kontroler sieci, a następnie wybierz przycisk Dalej.
  1. W obszarze Ustawienia wybierz pozycję Połączona sieć, wybierz pozycję Zarządzana przez kontroler sieci, a następnie wybierz przycisk Dalej.

  1. W obszarze Lokacja sieciowa określ ustawienia:

    Oto przykładowe wartości:

    • Nazwa sieci: ADRES VIP PROTOKOŁU GRE
    • Podsieć: 31.30.30.0
    • Maska: 24
    • Identyfikator sieci VLAN w magistrali: NA
    • Brama: 31.30.30.1
  1. W obszarze Podsumowanie przejrzyj ustawienia i zakończ pracę kreatora.

  1. Aby użyć protokołu IPv6, dodaj do lokacji sieciowej podsieć IPv4 i IPV6. Oto przykładowe wartości:

    • Nazwa sieci: ADRES VIP PROTOKOŁU GRE
    • Podsieć: FD4A:293D:184F:382C::
    • Maska: 64
    • Identyfikator sieci VLAN w magistrali: NA
    • Brama: FD4A:293D:184F:382C::1

  2. W obszarze Podsumowanie przejrzyj ustawienia i zakończ pracę kreatora.

  1. Aby użyć protokołu IPv4, dodaj podsieć IPv4 do lokacji sieciowej i utwórz pulę adresów IPv4. Oto przykładowe wartości:

    • Nazwa sieci: ADRES VIP PROTOKOŁU GRE
    • Podsieć:
    • Maska:
    • Identyfikator sieci VLAN w magistrali: NA
    • Brama:

  2. Aby użyć protokołu IPv6, dodaj podsieci IPv4 i IPV6 do lokacji sieciowej i utwórz pulę adresów IPv6. Oto przykładowe wartości:

    • Nazwa sieci: ADRES VIP PROTOKOŁU GRE
    • Podsieć: FD4A:293D:184F:382C::
    • Maska: 64
    • Identyfikator sieci VLAN w magistrali: NA
    • Brama: FD4A:293D:184F:382C::1

  3. W obszarze Podsumowanie przejrzyj ustawienia i zakończ pracę kreatora.

Tworzenie puli adresów IP dla adresów VIP protokołu GRE

Uwaga

W programie VMM 2019 UR1 lub nowszym można utworzyć pulę adresów IP przy użyciu kreatora Tworzenie sieci logicznej.

Uwaga

Pulę adresów IP można utworzyć za pomocą kreatora Tworzenie sieci logicznej.

  1. Kliknij prawym przyciskiem myszy sieć >logiczną PROTOKOŁU GRE VIP Utwórz pulę adresów IP.
  2. Wprowadź nazwę i opcjonalny opis puli, a następnie sprawdź, czy wybrano sieć adresów VIP. Wybierz Dalej.
  3. Zaakceptuj domyślną lokację sieciową i wybierz przycisk Dalej.
  1. Wybierz początkowy i końcowy adres IP dla zakresu. Uruchom zakres na drugim adresie dostępnej podsieci. Jeśli na przykład dostępna podsieć ma wartość od .1 do .254, uruchom zakres o wartości .2.
  2. W polu Adresy IP zarezerwowane dla adresów VIP modułu równoważenia obciążenia wprowadź zakres adresów IP w podsieci. Musi to być zgodne z zakresem używanym do uruchamiania i kończenia adresów IP.
  3. Nie musisz podawać informacji o bramie, systemie DNS ani WINS, ponieważ ta pula służy do przydzielania adresów IP dla adresów VIP tylko za pośrednictwem kontrolera sieci. Wybierz przycisk Dalej , aby pominąć te ekrany.
  4. W obszarze Podsumowanie przejrzyj ustawienia i zakończ pracę kreatora.
  1. Jeśli utworzono podsieć IPv6, utwórz oddzielną pulę adresów VIP protokołu IPv6 GRE.
  2. Wybierz początkowy i końcowy adres IP dla zakresu. Uruchom zakres na drugim adresie dostępnej podsieci. Jeśli na przykład dostępna podsieć ma wartość od .1 do .254, uruchom zakres o wartości .2. Do określania zakresu adresów VIP nie należy używać skróconej formy adresu IPv6; Użyj formatu 2001:db8:0:200:0:0:0:7 zamiast 2001:db8:0:200::7.
  3. W polu Adresy IP zarezerwowane dla adresów VIP modułu równoważenia obciążenia wprowadź zakres adresów IP w podsieci. Musi to być zgodne z zakresem używanym do uruchamiania i kończenia adresów IP.
  4. Nie musisz podawać informacji o bramie, systemie DNS ani WINS, ponieważ ta pula służy do przydzielania adresów IP dla adresów VIP tylko za pośrednictwem kontrolera sieci. Wybierz przycisk Dalej , aby pominąć te ekrany.
  5. W obszarze Podsumowanie przejrzyj ustawienia i zakończ pracę kreatora.

Importowanie szablonu usługi

  1. Wybierz pozycję Importuj szablon biblioteki>.
  2. Przejdź do folderu szablonu usługi. Na przykład wybierz plik 2.xml generacji EdgeServiceTemplate.
  3. Zaktualizuj parametry środowiska podczas importowania szablonu usługi.

Uwaga

Zasoby biblioteki zostały zaimportowane podczas wdrażania kontrolera sieci.

  • WinServer.vhdx: wybierz obraz wirtualnego dysku twardego, który został przygotowany i zaimportowany wcześniej podczas wdrażania kontrolera sieci.
  • EdgeDeployment.CR: mapuj na zasób biblioteki EdgeDeployment.cr w bibliotece programu VMM.

  1. Na stronie Podsumowanie przejrzyj szczegóły i wybierz pozycję Importuj.

    Uwaga

    Szablon usługi można dostosować. Dowiedz się więcej.

Wdrażanie usługi bramy

Aby włączyć protokół IPv6, podczas dołączania usługi bramy zaznacz pole wyboru Włącz protokół IPv6 i wybierz utworzoną wcześniej podsieć vip protokołu IPv6 GRE. Ponadto wybierz publiczną pulę IPv6 i podaj publiczny adres IPv6.

W tym przykładzie użyto szablonu generacji 2.

  1. Wybierz szablon usługi Microsoft EdgeServiceTemplate Generation2.xml, a następnie wybierz pozycję Konfiguruj wdrożenie.

  2. Wprowadź nazwę i wybierz miejsce docelowe dla wystąpienia usługi. Miejsce docelowe musi być mapowane na grupę hostów, która zawiera hosty skonfigurowane wcześniej na potrzeby wdrożenia bramy.

  3. W obszarze Ustawienia sieciowe zamapuj sieć zarządzania na sieć zarządzania maszyną wirtualną.

    Uwaga

    Po zakończeniu mapowania zostanie wyświetlone okno dialogowe Wdrażanie usługi . Zazwyczaj wystąpienia maszyn wirtualnych są początkowo czerwone. Wybierz pozycję Odśwież podgląd , aby automatycznie znaleźć odpowiednie hosty dla maszyny wirtualnej.

  4. Po lewej stronie okna Konfigurowanie wdrożenia skonfiguruj następujące ustawienia:

    • AdminAccount. Wymagany. Wybierz konto Uruchom jako administrator lokalny na maszynach wirtualnych bramy.
    • Sieć zarządzania. Wymagany. Wybierz sieć zarządzania maszynami wirtualnymi utworzoną na potrzeby zarządzania hostami.
    • Konto zarządzania. Wymagany. Wybierz konto Uruchom jako z uprawnieniami, aby dodać bramę do domeny usługi Active Directory skojarzonej z kontrolerem sieci. Może to być to samo konto używane dla konta MgmtDomainAccount podczas wdrażania kontrolera sieci.
    • NAZWA FQDN. Wymagany. Nazwa FQDN domeny usługi Active Directory dla bramy.

  5. Wybierz pozycję Wdróż usługę , aby rozpocząć zadanie wdrażania usługi.

    Uwaga

    • Czas wdrażania będzie się różnić w zależności od sprzętu, ale zazwyczaj wynosi od 30 do 60 minut. Jeśli wdrożenie bramy nie powiedzie się, usuń wystąpienie usługi, które zakończyło się niepowodzeniem, > przed ponowieniu próby wdrożenia.

    • Jeśli nie używasz licencjonowanego zbiorczo dysku VHDX (lub klucz produktu nie jest dostarczany przy użyciu pliku odpowiedzi), wdrożenie zostanie zatrzymane na stronie Klucz produktu podczas aprowizacji maszyny wirtualnej. Musisz ręcznie uzyskać dostęp do pulpitu maszyny wirtualnej i wprowadzić klucz lub pominąć go.

    • Jeśli chcesz skalować w poziomie wdrożone wystąpienie usługi SLB lub skalować je w poziomie, przeczytaj ten blog.

Limity bramy

Poniżej przedstawiono domyślne limity dla bramy zarządzanej przez kontroler sieci:

  • MaxVMNetworksSupported= 50
  • MaxVPNConnectionsPerVMNetwork= 10
  • MaxVMSubnetsSupported= 550
  • MaxVPNConnectionsSupported= 250

Uwaga

W przypadku sieci zwirtualizowanej SDNv2 dla każdej sieci maszyn wirtualnych jest tworzona wewnętrzna podsieć routingu. Limit MaxVMSubnetsSupported obejmuje wewnętrzne podsieci utworzone dla sieci maszyn wirtualnych.

Można zastąpić domyślne limity ustawione dla bramy zarządzanej kontrolera sieci. Jednak zastąpienie limitu wyższą liczbą może mieć wpływ na wydajność kontrolera sieci.

Przesłanianie limitów bramy

Aby zastąpić domyślne limity, dołącz ciąg zastąpienia do usługi kontrolera sieci parametry połączenia i zaktualizuj w programie VMM.

  • MaxVMNetworksSupported= i liczba sieci VMNetwork dostępnych w ramach tej bramy.
  • MaxVPNConnectionsPerVMNetwork= i liczba połączeń sieci VPN, które można utworzyć dla sieci maszyn wirtualnych za pomocą tej bramy.
  • MaxVMSubnetsSupported= i liczba podsieci sieci maszyn wirtualnych, które mogą być używane z tą bramą.
  • MaxVPNConnectionsSupported= i liczba połączeń sieci VPN, których można używać z tą bramą.

Przykład:

Aby zastąpić maksymalną liczbę sieci maszyn wirtualnych, które mogą być używane z bramą do 100, zaktualizuj parametry połączenia w następujący sposób:

serverurl=https://NCCluster.contoso.com;servicename=NC_VMM_RTM; MaxVMNetworksSupported==100

Konfigurowanie roli menedżera bramy

Po wdrożeniu usługi bramy można skonfigurować właściwości i skojarzyć je z usługą kontrolera sieci.

  1. Wybierz pozycję Sieć szkieletowa usługa sieciowa>, aby wyświetlić listę zainstalowanych usług sieciowych. Kliknij prawym przyciskiem myszy właściwości usługi >kontrolera sieci.

  2. Wybierz kartę Usługi i wybierz rolę Menedżera bramy.

  3. Znajdź pole Skojarzona usługa w obszarze Informacje o usłudze, a następnie wybierz pozycję Przeglądaj. Wybierz utworzone wcześniej wystąpienie usługi bramy i wybierz przycisk OK.

  4. Wybierz konto Uruchom jako, które będzie używane przez kontroler sieci do uzyskiwania dostępu do maszyn wirtualnych bramy.

    Uwaga

    Konto Uruchom jako musi mieć uprawnienia administratora na maszynach wirtualnych bramy.

  5. W podsieci adresów VIP protokołu GRE wybierz utworzoną wcześniej podsieć vip.

  1. W publicznej puli IPv4 wybierz pulę skonfigurowaną podczas wdrażania SLB. W obszarze Publiczny adres IPv4 podaj adres IP z poprzedniej puli i upewnij się, że nie wybrano początkowych trzech początkowych adresów IP z zakresu.

  1. Aby włączyć obsługę protokołu IPv4, w publicznej puli IPv4 wybierz pulę skonfigurowaną podczas wdrażania SLB. W obszarze Publiczny adres IPv4 podaj adres IP z poprzedniej puli i upewnij się, że nie wybrano początkowych trzech początkowych adresów IP z zakresu.

  2. Aby włączyć obsługę protokołu IPv6, w obszarze Usługi właściwości>kontrolera sieci zaznacz pole wyboru Włącz protokół IPv6, wybierz utworzoną wcześniej podsieć adresów VIP protokołu IPv6 i wprowadź odpowiednio publiczną pulę IPv6 i publiczny adres IPv6. Ponadto wybierz podsieć frontonu IPv6, która zostanie przypisana do maszyn wirtualnych bramy.

    Zrzut ekranu przedstawiający włączanie protokołu IPv6.

  3. W obszarze Pojemność bramy skonfiguruj ustawienia pojemności.

    Pojemność bramy (Mb/s) oznacza normalną przepustowość PROTOKOŁU TCP oczekiwaną z maszyny wirtualnej bramy. Należy ustawić ten parametr na podstawie używanej szybkości sieci bazowej.

    Przepustowość tunelu IPsec jest ograniczona do (3/20) pojemności bramy. Oznacza to, że jeśli pojemność bramy jest ustawiona na 1000 Mb/s, równoważna pojemność tunelu IPsec będzie ograniczona do 150 Mb/s.

    Uwaga

    Limit przepustowości to łączna wartość przepustowości ruchu przychodzącego i przepustowości wychodzącej.

    Równoważne współczynniki dla tuneli GRE i L3 to odpowiednio 1/5 i 1/2.

  4. Skonfiguruj liczbę węzłów zarezerwowanych na potrzeby tworzenia kopii zapasowej w węzłach dla pola błędy.

  5. Aby skonfigurować poszczególne maszyny wirtualne bramy, wybierz każdą maszynę wirtualną i wybierz podsieć frontonu IPv4, określ lokalny numer ASN i opcjonalnie dodaj informacje o urządzeniu komunikacji równorzędnej dla elementu równorzędnego BGP.

Uwaga

Należy skonfigurować komunikację równorzędną BGP bramy, jeśli planujesz używać połączeń GRE.

Wdrożone wystąpienie usługi jest teraz skojarzone z rolą Menedżera bramy. Musisz wyświetlić w nim wystąpienie maszyny wirtualnej bramy.

  1. W obszarze Pojemność bramy skonfiguruj ustawienia pojemności.

    Pojemność bramy (Mb/s) oznacza normalną przepustowość PROTOKOŁU TCP oczekiwaną z maszyny wirtualnej bramy. Należy ustawić ten parametr na podstawie używanej szybkości sieci bazowej.

    Przepustowość tunelu IPsec jest ograniczona do (3/20) pojemności bramy. Oznacza to, że jeśli pojemność bramy jest ustawiona na 1000 Mb/s, równoważna pojemność tunelu IPsec będzie ograniczona do 150 Mb/s.

    Uwaga

    Limit przepustowości to łączna wartość przepustowości ruchu przychodzącego i przepustowości wychodzącej.

    Równoważne współczynniki dla tuneli GRE i L3 to odpowiednio 1/5 i 1/2.

  2. Skonfiguruj liczbę węzłów zarezerwowanych na potrzeby tworzenia kopii zapasowej w węzłach dla pola błędy.

  3. Aby skonfigurować poszczególne maszyny wirtualne bramy, wybierz każdą maszynę wirtualną i wybierz podsieć frontonu IPv4, określ lokalny numer ASN i opcjonalnie dodaj informacje o urządzeniu komunikacji równorzędnej dla elementu równorzędnego BGP.

Uwaga

Należy skonfigurować komunikację równorzędną BGP bramy, jeśli planujesz używać połączeń GRE.

Wdrożone wystąpienie usługi jest teraz skojarzone z rolą Menedżera bramy. Musisz wyświetlić w nim wystąpienie maszyny wirtualnej bramy.

Weryfikowanie wdrożenia

Po wdrożeniu bramy można skonfigurować typy połączeń S2S GRE, S2S IPSec lub L3 i zweryfikować je. Aby uzyskać więcej informacji, zobacz następującą zawartość:

Aby uzyskać więcej informacji na temat typów połączeń, zobacz to.

Konfigurowanie selektora ruchu z poziomu programu PowerShell

Poniżej przedstawiono procedurę konfigurowania selektora ruchu przy użyciu programu PowerShell programu VMM.

  1. Utwórz selektor ruchu przy użyciu następujących parametrów.

    Uwaga

    Używane wartości to tylko przykłady.

    $t= new-object Microsoft.VirtualManager.Remoting.TrafficSelector

$t.Type=7 // IPV4=7, IPV6=8

$t.ProtocolId=6 // TCP =6, reference: https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers

$t.PortEnd=5090

$t.PortStart=5080

$t.IpAddressStart=10.100.101.10

$t.IpAddressEnd=10.100.101.100

  2. Skonfiguruj powyższy selektor ruchu przy użyciu parametru -LocalTrafficSelectors polecenia Add-SCVPNConnection lub Set-SCVPNConnection.

Usuwanie bramy z sieci szkieletowej SDN

Wykonaj następujące kroki , aby usunąć bramę z sieci szkieletowej SDN.