Partilhar via

Configurar um gateway RAS SDN na malha do VMM

  • Artigo

Este artigo descreve como configurar um gateway RAS SDN (Rede Definida pelo Software) na malha do System Center Virtual Machine Manager (VMM).

Um gateway RAS SDN é um elemento de caminho de dados no SDN que permite a conectividade site a site entre dois sistemas autônomos. Especificamente, um gateway RAS permite a conectividade site a site entre redes de locatário remoto e seu datacenter usando IPSec, GRE (Encapsulamento de Roteamento Genérico) ou Encaminhamento de Camada 3. Saiba mais.

Observação

O VMM 2025 e 2022 fornecem suporte de pilha dupla para o gateway RAS.

Observação

  • No VMM 2019 UR1, um tipo de rede conectado é alterado para Rede conectada.
  • O VMM 2019 UR2 e posterior dá suporte ao IPv6.

Antes de começar

Certifique-se do seguinte antes de começar:

  • Planejamento: Leia sobre o planejamento de uma rede definida por software e revise a topologia de planejamento neste documento. O diagrama mostra um exemplo de configuração de 4 nós. A configuração é altamente disponível com três nós de controlador de rede (VM) e três nós SLB/MUX. Ele mostra dois locatários com uma rede virtual dividida em duas sub-redes virtuais para simular uma camada da Web e uma camada de banco de dados. As máquinas virtuais de infraestrutura e locatário podem ser redistribuídas em qualquer host físico.
  • Controlador de rede: você deve implantar o controlador de rede antes de implantar o gateway RAS.
  • SLB: para garantir que as dependências sejam tratadas corretamente, você também deve implantar o SLB antes de configurar o gateway. Se um SLB e um gateway estiverem configurados, você poderá usar e validar uma conexão IPsec.
  • Modelo de serviço: o VMM usa um modelo de serviço para automatizar a implantação do GW. Os modelos de serviço dão suporte à implantação de vários nós em VMs de Geração 1 e Geração 2.

Etapas de implantação

Para configurar um gateway RAS, faça o seguinte:

  1. Baixar o modelo de serviço: baixe o modelo de serviço necessário para implantar o GW.

  2. Crie a rede lógica VIP: crie uma rede lógica VIP GRE. Ele precisa de um pool de endereços IP para VIPs privados e para atribuir VIPs a pontos de extremidade GRE. A rede existe para definir VIPs atribuídos a VMs de gateway em execução na malha SDN para uma conexão GRE site a site.

    Observação

    Para habilitar o suporte de pilha dupla, ao criar a rede lógica VIP GRE, adicione a sub-rede IPv6 ao site de rede e crie o pool de endereços IPv6. (aplicável para o 2022 e posterior)

  3. Importar o modelo de serviço: importe o modelo de serviço de gateway RAS.

  4. Implantar o gateway: implante uma instância de serviço de gateway e configure suas propriedades.

  5. Valide a implantação: configure o GRE, o IPSec ou o L3 site a site e valide a implantação.

Baixe o modelo de serviço

  1. Baixe a pasta SDN do repositório GitHub do Microsoft SDN e copie os modelos do GW de Modelos>do VMM>para um caminho local no servidor VMM.
  2. Extraia o conteúdo para uma pasta em um computador local. Você os importará para a biblioteca mais tarde.

O download contém dois modelos:

  • O modelo EdgeServiceTemplate_Generation 1 VM.xml é para implantar o Serviço GW em máquinas virtuais de Geração 1.
  • O VM.xml EdgeServiceTemplate_Generation 2 é para implantar o Serviço GW em máquinas virtuais de Geração 2.

Ambos os modelos têm uma contagem padrão de três máquinas virtuais, que podem ser alteradas no designer de modelo de serviço.

Criar a rede lógica VIP GRE

  1. No console do VMM, execute o Assistente para Criar Rede Lógica. Insira um Nome, opcionalmente, forneça uma descrição e selecione Avançar.
  1. Em Configurações, selecione Uma rede conectada. Opcionalmente, você pode selecionar Criar uma rede VM com o mesmo nome. Essa configuração permite que as VMs acessem essa rede lógica diretamente. Selecione Gerenciado pelo Controlador de Rede e selecione Avançar.
  • Para o VMM 2019 UR1 e posterior, em Configurações, selecione Rede Conectada, selecione Gerenciado pelo Controlador de Rede e, em seguida, selecione Avançar.
  1. Em Configurações, selecione Rede Conectada, selecione Gerenciado pelo Controlador de Rede e, em seguida, selecione Avançar.

  1. Em Site de Rede, especifique as configurações:

    Aqui estão os valores de exemplo:

    • Nome da rede: GRE VIP
    • Sub-rede: 31.30.30.0
    • Máscara: 24
    • ID da VLAN no tronco: NA
    • Porta de entrada: 31.30.30.1
  1. Em Resumo, revise as configurações e conclua o assistente.

  1. Para usar o IPv6, adicione a sub-rede IPv4 e IPV6 ao site de rede. Aqui estão os valores de exemplo:

    • Nome da rede: GRE VIP
    • Sub-rede: FD4A: 293D: 184F: 382C::
    • Máscara: 64
    • ID da VLAN no tronco: NA
    • Porta de entrada: FD4A:293D:184F:382C::1

  2. Em Resumo, revise as configurações e conclua o assistente.

  1. Para usar o IPv4, adicione a sub-rede IPv4 ao site de rede e crie o pool de endereços IPv4. Aqui estão os valores de exemplo:

    • Nome da rede: GRE VIP
    • Sub-rede:
    • Máscara:
    • ID da VLAN no tronco: NA
    • Gateway:

  2. Para usar o IPv6, adicione as sub-redes IPv4 e IPV6 ao site de rede e crie o pool de endereços IPv6. Aqui estão os valores de exemplo:

    • Nome da rede: GRE VIP
    • Sub-rede: FD4A: 293D: 184F: 382C::
    • Máscara: 64
    • ID da VLAN no tronco: NA
    • Porta de entrada: FD4A:293D:184F:382C::1

  3. Em Resumo, revise as configurações e conclua o assistente.

Criar um pool de endereços IP para endereços VIP GRE

Observação

No VMM 2019 UR1 e posterior, você pode criar um pool de endereços IP usando o assistente Criar Rede Lógica.

Observação

Você pode criar um pool de endereços IP usando o assistente Criar Rede Lógica.

  1. Clique com o botão direito do mouse na rede lógica VIP GRE >Criar Pool de IP.
  2. Insira um Nome e uma descrição opcional para o pool e verifique se a rede VIP está selecionada. Selecione Avançar.
  3. Aceite o site de rede padrão e selecione Avançar.
  1. Escolha um endereço IP inicial e final para o seu intervalo. Inicie o intervalo no segundo endereço da sub-rede disponível. Por exemplo, se a sub-rede disponível for de .1 a .254, inicie o intervalo em .2.
  2. Na caixa Endereços IP reservados para VIPs do balanceador de carga, insira o intervalo de endereços IP na sub-rede. Isso deve corresponder ao intervalo usado para iniciar e terminar os endereços IP.
  3. Você não precisa fornecer informações de gateway, DNS ou WINS, pois esse pool é usado para alocar endereços IP para VIPs somente por meio do controlador de rede. Selecione Avançar para ignorar essas telas.
  4. Em Resumo, revise as configurações e conclua o assistente.
  1. Se você tiver criado uma sub-rede IPv6, crie um pool de endereços VIP IPv6 GRE separado.
  2. Escolha um endereço IP inicial e final para o seu intervalo. Inicie o intervalo no segundo endereço da sub-rede disponível. Por exemplo, se a sub-rede disponível for de .1 a .254, inicie o intervalo em .2. Para especificar o intervalo VIP, não use a forma abreviada de endereço IPv6; Use o formato 2001:db8:0:200:0:0:0:7 em vez de 2001:db8:0:200::7.
  3. Na caixa Endereços IP reservados para VIPs do balanceador de carga, insira o intervalo de endereços IP na sub-rede. Isso deve corresponder ao intervalo usado para iniciar e terminar os endereços IP.
  4. Você não precisa fornecer informações de gateway, DNS ou WINS, pois esse pool é usado para alocar endereços IP para VIPs somente por meio do controlador de rede. Selecione Avançar para ignorar essas telas.
  5. Em Resumo, revise as configurações e conclua o assistente.

Importar o modelo de serviço

  1. Selecione Modelo de importação de biblioteca>.
  2. Navegue até a pasta do modelo de serviço. Como exemplo, selecione o arquivo EdgeServiceTemplate Generation 2.xml.
  3. Atualize os parâmetros do seu ambiente à medida que você importa o modelo de serviço.

Observação

Os recursos da biblioteca foram importados durante a implantação do controlador de rede.

  • WinServer.vhdx: selecione a imagem do disco rígido virtual que você preparou e importou anteriormente durante a implantação do controlador de rede.
  • EdgeDeployment.CR: mapeie para o recurso de biblioteca EdgeDeployment.cr na biblioteca do VMM.

  1. Na página Resumo , examine os detalhes e selecione Importar.

    Observação

    Você pode personalizar o modelo de serviço. Saiba mais.

Implantar o serviço de gateway

Para habilitar o IPv6, durante a integração do serviço de Gateway, marque a caixa de seleção Habilitar IPv6 e selecione a sub-rede VIP IPv6 GRE que você criou anteriormente. Além disso, selecione o pool de IPv6 público e forneça o endereço IPv6 público.

Este exemplo usa o modelo Geração 2.

  1. Selecione o modelo de serviço EdgeServiceTemplate Generation2.xml e selecione Configurar Implantação.

  2. Insira um Nome e escolha um destino para a instância de serviço. O destino deve ser mapeado para um grupo de hosts que contenha os hosts configurados anteriormente para implantação de gateway.

  3. Em Configurações de Rede, mapeie a rede de gerenciamento para a rede VM de gerenciamento.

    Observação

    A caixa de diálogo Implantar Serviço é exibida após a conclusão do mapeamento. É normal que as instâncias de VM sejam inicialmente vermelhas. Selecione Atualizar Visualização para localizar automaticamente os hosts adequados para a VM.

  4. À esquerda da janela Configurar Implantação , defina as seguintes configurações:

    • Admin. Obrigatória. Selecione uma conta RunAs que será usada como administrador local nas VMs de gateway.
    • Rede de Gestão. Obrigatória. Escolha a rede VM de gerenciamento que você criou para o gerenciamento de host.
    • Conta de gerenciamento. Obrigatória. Selecione uma conta Executar como com permissões para adicionar o gateway ao domínio do Active Directory associado ao controlador de rede. Essa pode ser a mesma conta usada para MgmtDomainAccount durante a implantação do controlador de rede.
    • FQDN. Obrigatória. FQDN para o domínio do Active Directory para o gateway.

  5. Selecione Implantar Serviço para iniciar o trabalho de implantação do serviço.

    Observação

    • Os tempos de implantação variam dependendo do seu hardware, mas geralmente são entre 30 e 60 minutos. Se a implantação do gateway falhar, exclua a instância de serviço com falha em Todos os Serviços de Hosts>antes de repetir a implantação.

    • Se você não estiver usando um VHDX licenciado por volume (ou a chave do produto não for fornecida usando um arquivo de resposta), a implantação será interrompida na página Chave do Produto durante o provisionamento da VM. Você precisa acessar manualmente a área de trabalho da VM e inserir a chave ou ignorá-la.

    • Se você quiser reduzir ou escalar horizontalmente uma instância SLB implantada, leia este blog.

Limites do gateway

A seguir estão os limites padrão para o gateway gerenciado NC:

  • MaxVMNetworksSupported= 50
  • MaxVPNConnectionsPerVMNetwork= 10
  • MaxVMSubnetsSupported= 550
  • MaxVPNConnectionsSupported= 250

Observação

Para uma rede virtualizada SDNv2, uma sub-rede de roteamento interno é criada para cada rede VM. O limite MaxVMSubnetsSupported inclui as sub-redes internas criadas para redes VM.

Você pode substituir os limites padrão definidos para o gateway gerenciado do controlador de rede. No entanto, substituir o limite para um número maior pode afetar o desempenho do controlador de rede.

Substituir os limites do gateway

Para substituir os limites padrão, acrescente a cadeia de caracteres de substituição à cadeia de conexão de serviço do controlador de rede e atualize no VMM.

  • MaxVMNetworksSupported= seguido pelo número de redes VM que podem ser usadas com esse gateway.
  • MaxVPNConnectionsPerVMNetwork= seguido pelo número de conexões VPN que podem ser criadas por rede VM com esse gateway.
  • MaxVMSubnetsSupported = seguido pelo número de sub-redes da rede VM que podem ser usadas com esse gateway.
  • MaxVPNConnectionsSupported = seguido pelo número de conexões VPN que podem ser usadas com esse gateway.

Exemplo:

Para substituir o número máximo de redes VM que podem ser usadas com o gateway para 100, atualize a cadeia de conexão da seguinte maneira:

serverurl=https://NCCluster.contoso.com;servicename=NC_VMM_RTM; MaxVMNetworksSupported==100

Configurar a função de gerenciador de gateway

Agora que o serviço de gateway foi implantado, você pode configurar as propriedades e associá-lo ao serviço do controlador de rede.

  1. Selecione Serviço de Rede de Malha>para exibir a lista de serviços de rede instalados. Clique com o botão direito do mouse em Serviço do Controlador de Rede >Propriedades.

  2. Selecione a guia Serviços e selecione a função Gerenciador de gateway.

  3. Localize o campo Serviço Associado em Informações do serviço e selecione Procurar. Selecione a instância de serviço de gateway que você criou anteriormente e selecione OK.

  4. Selecione a conta Executar como que será usada pelo controlador de rede para acessar as máquinas virtuais do gateway.

    Observação

    A conta Executar como deve ter privilégios de administrador nas VMs do gateway.

  5. Na sub-rede VIP GRE, selecione a sub-rede VIP que você criou anteriormente.

  1. Em Pool IPv4 público, selecione o pool que você configurou durante a implantação do SLB. Em Endereço IPv4 público, forneça um endereço IP do pool anterior e certifique-se de não selecionar os três endereços IP iniciais do intervalo.

  1. Para habilitar o suporte a IPv4, em Pool IPv4 público, selecione o pool que você configurou durante a implantação do SLB. Em Endereço IPv4 público, forneça um endereço IP do pool anterior e certifique-se de não selecionar os três endereços IP iniciais do intervalo.

  2. Para habilitar o suporte a IPv6, nos Serviços de Propriedades>do Controlador de Rede, marque a caixa de seleção Habilitar IPv6, selecione a sub-rede VIP IPv6 GRE que você criou anteriormente e insira o pool IPv6 público e o endereço IPv6 público, respectivamente. Além disso, selecione a sub-rede de front-end IPv6 que será atribuída às VMs do Gateway.

    Captura de tela da ativação do IPv6.

  3. Em Capacidade do gateway, defina as configurações de capacidade.

    A capacidade do gateway (Mbps) indica a largura de banda TCP normal esperada da VM do gateway. Você deve definir esse parâmetro com base na velocidade de rede subjacente que você usa.

    A largura de banda do túnel IPsec é limitada a (3/20) da capacidade do gateway. O que significa que, se a capacidade do gateway for definida como 1000 Mbps, a capacidade equivalente do túnel IPsec será limitada a 150 Mbps.

    Observação

    O limite de largura de banda é o valor total da largura de banda de entrada e de saída.

    As proporções equivalentes para os túneis GRE e L3 são 1/5 e 1/2, respectivamente.

  4. Configure o número de nós reservados para backup no campo Nós para reservados para falhas.

  5. Para configurar VMs de gateway individuais, selecione cada VM e selecione a sub-rede de front-end IPv4, especifique o ASN local e, opcionalmente, adicione as informações do dispositivo de emparelhamento para o par BGP.

Observação

Você deve configurar os pares BGP do gateway se planeja usar conexões GRE.

A instância de serviço que você implantou agora está associada à função de Gerenciador de gateway. Você deve ver a instância de VM do gateway listada abaixo dela.

  1. Em Capacidade do gateway, defina as configurações de capacidade.

    A capacidade do gateway (Mbps) indica a largura de banda TCP normal esperada da VM do gateway. Você deve definir esse parâmetro com base na velocidade de rede subjacente que você usa.

    A largura de banda do túnel IPsec é limitada a (3/20) da capacidade do gateway. O que significa que, se a capacidade do gateway for definida como 1000 Mbps, a capacidade equivalente do túnel IPsec será limitada a 150 Mbps.

    Observação

    O limite de largura de banda é o valor total da largura de banda de entrada e de saída.

    As proporções equivalentes dos túneis GRE e L3 são de 1/5 e 1/2 respectivamente.

  2. Configure o número de nós reservados para backup no campo Nós para reservados para falhas.

  3. Para configurar VMs de gateway individuais, selecione cada VM e selecione a sub-rede de front-end IPv4, especifique o ASN local e, opcionalmente, adicione as informações do dispositivo de emparelhamento para o par BGP.

Observação

Você deve configurar os pares BGP do gateway se planeja usar conexões GRE.

A instância de serviço que você implantou agora está associada à função de Gerenciador de gateway. Você deve ver a instância de VM do gateway listada abaixo dela.

Validar a implantação

Depois de implantar o gateway, você pode configurar os tipos de conexão S2S GRE, S2S IPSec ou L3 e validá-los. Para obter mais informações, consulte o seguinte conteúdo:

Para obter mais informações sobre os tipos de conexão, consulte isto.

Configurar o seletor de tráfego do PowerShell

Aqui está o procedimento para configurar o seletor de tráfego usando o PowerShell do VMM.

  1. Crie o seletor de tráfego usando os parâmetros a seguir.

    Observação

    Os valores usados são apenas exemplos.

    $t= new-object Microsoft.VirtualManager.Remoting.TrafficSelector

$t.Type=7 // IPV4=7, IPV6=8

$t.ProtocolId=6 // TCP =6, reference: https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers

$t.PortEnd=5090

$t.PortStart=5080

$t.IpAddressStart=10.100.101.10

$t.IpAddressEnd=10.100.101.100

  2. Configure o seletor de tráfego acima usando o parâmetro -LocalTrafficSelectors de Add-SCVPNConnection ou Set-SCVPNConnection.

Remover o gateway da malha SDN

Use estas etapas para remover o gateway da malha SDN.