Einrichten eines SDN-Netzwerkcontrollers im VMM-Fabric

In diesem Artikel wird beschrieben, wie Sie einen SDN-Netzwerkcontroller (Software Defined Network) im System Center – Virtual Machine Manager-Fabric (VMM) einrichten.

Der SDN-Netzwerkcontroller ist eine skalierbare und hoch verfügbare Serverrolle, mit der Sie die Konfiguration der Netzwerkinfrastruktur automatisieren können, statt jedes Netzwerkgerät manuell konfigurieren zu müssen. Weitere Informationen

VMM 2022 bietet die Unterstützung für duale Stapel für SDN-Netzwerkcontroller.

Dieses Video (etwa fünf Minuten lang) bietet eine hervorragende Einführung und einen Überblick über die Bereitstellung von Netzwerkcontrollern.

Hinweis

• VMM 2022 unterstützt die Unterstützung für duale Stapel (Ipv4 + Ipv6) für SDN-Komponenten.
• Eine vollständige Liste der unterstützten Serverbetriebssystem finden Sie unter Systemanforderungen .

Voraussetzungen

• Planen eines durch Software definierten Netzwerks (software defined network, SDN) Weitere Informationen

• Planen einer SDN-Netzwerkcontrollerinstallation und -bereitstellung Weitere Informationen

Vorbereitung

Um SDN im VMM-Fabric einzurichten, benötigen Sie Folgendes:

• Eine Dienstvorlage: VMM verwendet eine Dienstvorlage zum Automatisieren der Netzwerkcontrollerbereitstellung. Dienstvorlagen für den Netzwerkcontroller unterstützen auf VMs der Generation 1 und 2 eine Bereitstellung mit mehreren Knoten.
• Eine virtuelle Festplatte: Für die Dienstvorlage wird eine vorbereitete virtuelle Festplatte benötigt, die in die VMM-Bibliothek importiert wurde. Diese virtuelle Festplatte wird für Netzwerkcontroller-VMs verwendet.
  • Auf der virtuellen Festplatte muss die entsprechende Windows Server-Version mit den neuesten installierten Patches ausgeführt werden.
  • Die Festplatte kann das VHD- oder VHDX-Format verwenden.
• Ein logisches Verwaltungsnetzwerk: Dieses modelliert die Konnektivität Ihres physischen Verwaltungsnetzwerks für VMM-Host, Netzwerkcontrollerhosts und VM-Hosts der Mandanten.
• Einen logischen Switch: Dieser stellt Konnektivität zwischen dem logischen Verwaltungsnetzwerk und den Netzwerkcontroller-VMs bereit.
• Ein SSL-Zertifikat: Dieses authentifiziert die Kommunikation zwischen dem VMM-Server und dem Netzwerkcontroller.
• Ein logisches HNV-Anbieternetzwerk und Mandanten-VM-Netzwerke: Diese überprüfen die Netzwerkcontrollerbereitstellung.
• Weitere Voraussetzungen: Überprüfen Sie die weiteren Anforderungen.

Bereitstellungsschritte

Zum Einrichten eines SDN-Netzwerkcontrollers müssen Sie folgendes tun:

1. Konfigurieren von Hosts und physischer Netzwerkinfrastruktur: Sie benötigen Zugriff auf Ihre physischen Netzwerkgeräte, um VLANs, Routing und andere zu konfigurieren. Sie benötigen darüber hinaus Hyper-V-Hosts, um die SDN-Infrastruktur und Mandanten-VMs zu hosten. Weitere Informationen.

2. Vorbereiten einer virtuellen Festplatte: Sie können eine virtuelle Festplatte für die Netzwerkcontrollerdienstvorlage im VHD- oder VHDX-Format für die von Ihnen ausgewählte Dienstvorlagengenerierung vorbereiten.

3. Herunterladen der Dienstvorlagen: Laden Sie die Netzwerkcontroller-Dienstvorlagen herunter, und importieren Sie sie anschließend in die VMM-Bibliothek.

4. Einrichten von Active Directory-Sicherheitsgruppen: Sie benötigen eine Active Directory-Sicherheitsgruppe für die Netzwerkcontrollerverwaltung und eine weitere Sicherheitsgruppe für die Netzwerkcontrollerclients. In jeder Gruppe muss mindestens ein Benutzerkonto enthalten sein.

5. Einrichten einer VMM-Bibliotheksfreigabe: Sie können eine optionale Bibliotheksdateifreigabe zur Aufbewahrung von Diagnoseprotokollen verwenden. Diese Bibliotheksfreigabe verwendet der Netzwerkcontroller zum Speichern der Diagnoseinformationen für die Dauer ihres Lebenszyklus.

6. Einrichten einer VMM-Hostgruppe: Richten Sie eine dedizierte Hostgruppe für alle SDN-Hyper-V-Hosts ein.

   Hinweis

   Hosts müssen unter dem entsprechenden Windows Server mit den neuesten Patches ausgeführt werden und die Hyper-V-Rolle aktiviert sein.

7. Erstellen des logischen Verwaltungsnetzwerks: Erstellen Sie ein logisches Netzwerk, das die Konnektivität des Verwaltungsnetzwerks für VMM-Host, Netzwerkcontrollerhosts und VM-Hosts der Mandanten spiegelt. Wenn Sie statische IP-Adressen aus einem Pool zuweisen möchten, erstellen Sie einen Pool in diesem logischen Netzwerk.

8. Erstellen und Bereitstellen eines logischen Verwaltungsswitches: Sie erstellen den logischen Switch und stellen ihn auf Netzwerkcontrollerhosts bereit, um Konnektivität mit dem Verwaltungsnetzwerk für Netzwerkcontroller-VMs bereitzustellen.

9. Einrichten eines Zertifikats: Sie benötigen ein SSL-Zertifikat für die sichere bzw. HTTPS-Kommunikation mit dem Netzwerkcontroller.

10. Importieren der Vorlage: Importieren Sie die Netzwerkcontroller-Dienstvorlage, und passen Sie sie an.

11. Bereitstellen des Diensts: Stellen Sie den Netzwerkcontrollerdienst mithilfe der Dienstvorlage bereit. Fügen Sie ihn dann als VMM-Dienst hinzu.

Vorbereiten einer virtuellen Festplatte

1. Bereiten Sie die VHD oder VHDX auf Grundlage des Vorlagentyps vor, den Sie benutzen möchten.
2. Nachdem Sie die Festplatte vorbereitet haben, installieren Sie die neuesten anwendbaren Windows Server-Updates und alle Sprachpakete, die Sie benötigen, wenn Sie über eine nicht englischsprachige Umgebung verfügen.
3. Importieren Sie die VHD-/VHDX-Dateien in die VMM-Bibliothek. Weitere Informationen

Herunterladen der Netzwerkcontroller-Dienstvorlage

1. Laden Sie den SDN-Ordner aus dem Microsoft SDN GitHub-Repository herunter, und kopieren Sie sie Vorlagen aus VMMVorlagenNC in den lokalen Pfad auf dem VMM-Server.

2. Extrahieren Sie den Inhalt in einen Ordner auf einem lokalen Computer.

3. Aktualisieren Sie die Bibliothek. Sie importieren die Dienstvorlagen später.

   Hinweis

   Die benutzerdefinierten Ressourcendateien werden beim Einrichten des Netzwerkcontrollers und anderer SDN-Komponenten (Software Load Balancer, RAS-Gateway) verwendet.

   Der Ordner NC enthält vier Dienstvorlagen und fünf benutzerdefinierte Ressourcenordner. Diese werden in der folgenden Tabelle zusammengefasst:

Vorlagen und Ressourcendateien

Name	Typ	Details
Network Controller Production Generation 1 VM.xml	Vorlage	Netzwerkcontroller mit drei Knoten für VMs der Generation 1
Network Controller Production Generation 2 VM.xml	Vorlage	Netzwerkcontroller mit drei Knoten für VMs der Generation 2
Network Controller Standalone Generation 1 VM.xml	Vorlage	Netzwerkcontroller mit einem Knoten für VMs der Generation 1
Network Controller Standalone Generation 2 VM.xml	Vorlage	Netzwerkcontroller mit einem Knoten für VMs der Generation 2
NcSetup.cr	Benutzerdefinierte Ressourcendatei	Eine Bibliotheksressource mit Skripts zum Einrichten des Netzwerks.
ServerCertificate.cr	Benutzerdefinierte Ressourcendatei	Bibliotheksressource mit dem privaten Schlüssel für den Netzwerkcontroller im PFX-Format.
NcCertificate.cr	Benutzerdefinierte Ressourcendatei	Benutzerdefinierte Bibliotheksressource, die das vertrauenswürdige Stammzertifikat (CER) für den Netzwerkcontroller enthält. Dies wird für die sichere Kommunikation zwischen dem Netzwerkcontroller und anderen Unterdiensten (z. B. SLB-MUXes) verwendet.
TrustedRootCertificate.cr	Benutzerdefinierte Ressourcendatei	Bibliotheksressource, die den öffentlichen Schlüssel der Zertifizierungsstelle (.cer) enthält, der als vertrauenswürdiges Stammzertifikat zum Überprüfen des SSL-Zertifikats importiert wurde.
EdgeDeployment.cr	Vorlage	Wird zum Installieren von SLB/MUX-Rollen und Gatewayrollen (z.B. VPN) verwendet.

Einrichten von Active Directory-Gruppen

Erstellen Sie Sicherheitsgruppen für die Netzwerkcontrollerverwaltung und für Clients.

1. Erstellen Sie in Active Directory-Benutzer und -Gruppen eine Active Directory-Sicherheitsgruppe für die Netzwerkcontrollerverwaltung.

   • Fügen Sie in der Gruppe alle Benutzer hinzu, die über Berechtigungen zum Konfigurieren des Netzwerkcontrollers verfügen. Erstellen Sie beispielsweise eine Gruppe mit dem Namen „Netzwerkcontroller-Administratoren“.
   • Alle Benutzer, die Sie dieser Gruppe hinzufügen, müssen auch Mitglieder der Gruppe Domänenbenutzer in Active Directory sein.
   • Die Gruppe für die Netzwerkcontrollerverwaltung sollte eine lokale Domänengruppe sein. Mitglieder dieser Gruppe können die Konfiguration des bereitgestellten Netzwerkcontrollers erstellen, löschen und aktualisieren.
   • Sie müssen mindestens ein Benutzerkonto erstellen, das Mitglied dieser Gruppe ist, und Sie müssen Zugriff auf die Anmeldeinformationen des Kontos haben. Nach der Bereitstellung des Netzwerkcontrollers kann VMM so konfiguriert werden, dass die Anmeldeinformationen dieses Benutzerkontos zum Einrichten der Kommunikation mit dem Netzwerkcontroller verwendet werden.

2. Erstellen Sie eine weitere Sicherheitsgruppe für Netzwerkcontrollerclients.

   • Fügen Sie Benutzer mit Berechtigungen zum Konfigurieren und Verwalten von Netzwerken mithilfe des Netzwerkcontrollers hinzu. Erstellen Sie beispielsweise eine Gruppe mit dem Namen „Netzwerkcontroller-Benutzer“.
   • Alle Benutzer, die Sie der neuen Gruppe hinzufügen, müssen auch Mitglieder der Gruppe Domänenbenutzer in Active Directory sein.
   • Die gesamte Konfiguration und Verwaltung des Netzwerkcontrollers erfolgt mithilfe von Representational State Transfer (DNS).
   • Es sollte sich bei der Gruppe um eine lokale Gruppe der Domäne handeln. Nach der Bereitstellung des Netzwerkcontrollers haben alle Mitglieder dieser Gruppe die Berechtigung zur Kommunikation mit dem Netzwerkcontroller über eine REST-basierte Schnittstelle.
   • Sie müssen mindestens ein Benutzerkonto erstellen, das Mitglied dieser Gruppe ist. Nach der Bereitstellung des Netzwerkcontrollers kann VMM so konfiguriert werden, dass die Anmeldeinformationen dieses Benutzerkontos zum Einrichten der Kommunikation mit dem Netzwerkcontroller verwendet werden.

Erstellen einer Bibliotheksfreigabe für die Protokollierung

1. Optional können Sie eine Dateifreigabe in der VMM-Bibliothek erstellen, um in dieser Diagnoseprotokolle aufzubewahren.
2. Stellen Sie sicher, dass über den Netzwerkcontroller auf die Freigabe zugegriffen werden kann. Der Netzwerkcontroller verwendet die Freigabe zum Speichern von Diagnoseinformationen. Notieren Sie sich die Anmeldeinformationen für das Konto, das Schreibzugriff auf die Freigabe hat.

Einrichten von Hostgruppen

1. Erstellen Sie eine dedizierte Hostgruppe für Hyper-V-Hosts, die über SDN verwaltet werden.
2. Stellen Sie sicher, dass hyper-V-Hosts Windows Server 2016 mit den neuesten installierten Patches ausführen.

Erstellen des logischen Verwaltungsnetzwerks

Sie können ein logisches Verwaltungsnetzwerk in VMM erstellen, um Ihr physisches Verwaltungsnetzwerk zu Spiegel.

• Das logische Netzwerk bietet Einstellungen für die Netzwerkkonnektivität für den VMM-Host, die Netzwerkcontrollerhosts und die Mandanten-VM-Hosts.
• Es wird empfohlen, dieses Verwaltungsnetzwerk zu erstellen, um für die durch den Netzwerkcontroller verwalteten virtuellen Maschinen innerhalb der Infrastruktur Konnektivität bereitzustellen.
• Wenn Sie bereits über ein logisches VMM-Netzwerk verfügen, das über die Option VM-Netzwerk mit dem gleichen Namen erstellen, um virtuellen Maschinen den direkten Zugriff auf dieses logische Netzwerk zu ermöglichen erstellt wurde, können Sie dieses logische Netzwerk auch zum Bereitstellen von Konnektivität für den Netzwerkcontroller verwenden.

Gehen Sie wie folgt vor, um ein logisches Verwaltungsnetzwerk zu erstellen:

1. Wählen SieFabric-Netzwerk> aus. Klicken Sie mit der rechten Maustaste auf Logische NetzwerkeLogisches Netzwerk erstellen.
2. Geben Sie einen Namen und optional eine Beschreibung an.

3. Wählen Sie unter Einstellungen die Option Ein verbundenes Netzwerk. Alle Verwaltungsnetzwerke benötigen Routingfunktionalität und Konnektivität zwischen allen Hosts in diesem Netzwerk. Wählen Sie VM-Netzwerk mit dem gleichen Namen erstellen, um virtuellen Maschinen den direkten Zugriff auf dieses logische Netzwerk zu ermöglichen aus, um automatisch ein VM-Netzwerk für Ihr Verwaltungsnetzwerk zu erstellen.

4. Wählen Sie Netzwerkstandort>hinzufügen aus. Wählen Sie die Hostgruppe für die Hosts aus, die durch den Netzwerkcontroller verwaltet werden sollen. Fügen Sie die IP-Subnetzinformationen Ihres Verwaltungsnetzwerks ein. Dieses Netzwerk sollte bereits vorhanden und in Ihrem physischen Switch konfiguriert sein.
5. Überprüfen Sie die Zusammenfassungsinformationen , und wählen Sie fertig stellen aus.

Erstellen eines IP-Adresspools

Hinweis

Sie können IP-Adresspools mithilfe des Assistenten Logisches Netzwerk erstellen erstellen.

Wenn Sie Ihren Netzwerkcontroller-VMs statische IP-Adressen zuweisen möchten, benötigen Sie einen IP-Adresspool im logischen Verwaltungsnetzwerk. Wenn Sie DHCP verwenden, können Sie diesen Schritt überspringen.

1. Klicken Sie in der VMM-Konsole mit der rechten Maustaste auf das logische Verwaltungsnetzwerk, und wählen Sie IP-Pool erstellen aus.

2. Geben Sie einen Namen und eine optionale Beschreibung für den Pool an, und stellen Sie sicher, dass das Verwaltungsnetzwerk für das logische Netzwerk ausgewählt ist.

3. Wählen Sie im Bereich Netzwerkstandort das Subnetz aus, dem dieser IP-Adresspool zugeordnet sein soll.

4. Geben Sie im Bereich IP-Adressbereich die Start- und die End-IP-Adressen ein.

5. Um eine IP-Adresse als REST-IP zu verwenden, geben Sie eine der IP-Adressen aus dem angegebenen Bereich im Feld IP-Adressen ein, die für andere Zwecke reserviert werden sollen . Überspringen Sie diesen Schritt, wenn Sie den REST-Endpunkt verwenden wollen.

   • Verwenden Sie nicht die ersten drei IP-Adressen Ihres verfügbaren Subnetzes. Wenn Ihr Subnetz z. B. von .1 bis .254 reicht, beginnen Sie Ihren Bereich bei .4 oder höher.
   • Wenn sich die Knoten im selben Subnetz befinden, müssen Sie eine REST-IP-Adresse bereitstellen. Wenn sich die Knoten in verschiedenen Subnetzen befinden, müssen Sie einen REST-DNS-Namen bereitstellen.

6. Geben Sie die Standardgatewayadresse an, und konfigurieren Sie optional DNS- und WINS-Einstellungen.

7. Überprüfen Sie auf der Seite Zusammenfassung die Einstellungen, und wählen Sie Fertig stellen aus, um den Assistenten abzuschließen.

Erstellen und bereitstellen eines logischen Verwaltungsswitches

Sie müssen einen logischen Switch im logischen Verwaltungsnetzwerk bereitstellen. Der logische Switch sorgt für Konnektivität zwischen dem logischen Verwaltungsnetzwerk und den Netz.

1. Wählen Sie in der VMM-KonsoleFabric-Netzwerk>>logischen Switch erstellen aus. Überprüfen Sie die Erste Schritte Informationen, und wählen Sie Weiter aus.

2. Geben Sie einen Namen und optional eine Beschreibung ein. Wählen Sie Kein Uplinkteam aus. Wenn Sie die Teamfunktion benötigen, wählen Sie Eingebettetes Team aus.

   Hinweis

   Verwenden Sie nicht Team.

3. Wählen Sie für den Mindestbandbreitenmodus die Option Gewichtung aus.

4. Deaktivieren Sie im Bereich Erweiterungen alle Switcherweiterungen. Dies ist wichtig, Falls Sie eine Switcherweiterung zu diesem Zeitpunkt wählen und dies später bei der Integration des Netzwerkcontrollers zu Problemen führen kann.

5. Optional können Sie auf dieser Seite ein Profil für einen virtuellen Port hinzufügen und eine Portklassifizierung für die Hostverwaltung auswählen.

6. Wählen Sie ein vorhandenes Uplinkportprofil aus, oder wählen SieNeues Uplinkportprofilhinzufügen> aus. Geben Sie einen Namen und optional eine Beschreibung ein. Verwenden Sie die Standardeinstellungen für den Lastenausgleichsalgorithmus und den Teammodus. Wählen Sie alle Netzwerkstandorte im logischen Verwaltungsnetzwerk aus.

7. Wählen Sie Neuer Netzwerkadapter aus. Dadurch wird Ihrem logischen Switch und Ihrem Uplinkportprofil ein virtueller Netzwerkadapter (vNIC) für Hosts hinzugefügt. Wenn Sie den logischen Switch nun Ihren Hosts hinzufügen, wird der vNIC automatisch hinzugefügt.

8. Geben Sie einen Namen für den vNIC ein. Überprüfen Sie, ob das VM-Verwaltungsnetzwerk im Bereich Konnektivität aufgeführt ist.

9. Wählen Sie Dieser Netzwerkadapter wird für die Hostverwaltung verwendet Verbindungseinstellungen vom Hostadapter erben aus. Auf diese Weise werden die vNIC-Adaptereinstellungen von dem auf dem Host vorhandenen Adapter übernommen. Wenn Sie zuvor eine Portklassifizierung und ein Profil für einen virtuellen Port erstellt haben, können Sie diese nun auswählen.

10. Überprüfen Sie unter Zusammenfassung die Informationen, und wählen Sie Fertig stellen aus, um den Assistenten abzuschließen.

Bereitstellen des logischen Switches

Sie müssen den logischen Verwaltungsswitch auf allen Hosts bereitstellen, auf denen Sie den Netzwerkcontroller (NC) bereitstellen möchten. Diese Hosts müssen ein Teil der VMM-Hostgruppe sein, die Sie zuvor erstellt haben Weitere Informationen.

Einrichten der Sicherheitszertifikate:

Für die sichere bzw. HTTPS-Kommunikation mit Netzwerkcontroller benötigen Sie ein SSL-Zertifikat. Sie können die folgenden Methoden verwenden:

• Selbstsigniertes Zertifikat: Sie können ein selbstsigniertes Zertifikat generieren und es mit dem privaten Schlüssel exportieren, der über ein Kennwort geschützt ist.
• Zertifikat einer Zertifizierungsstelle: Sie können ein Zertifikat verwenden, das von einer Zertifizierungsstelle (ZS) signiert wurde.

Verwenden eines selbstsignierten Zertifikats

Im folgenden Beispiel wird ein neues selbstsigniertes Zertifikat erstellt, das auf dem VMM-Server ausgeführt werden sollte.

Hinweis

• Sie können eine IP-Adresse als DNS-Namen verwenden, dies wird jedoch nicht empfohlen, da der Netzwerkcontroller auf ein einzelnes Subnetz beschränkt wird.
• Sie können für Ihren Netzwerkcontroller einen beliebigen Anzeigenamen verwenden.
• Für Bereitstellungen mit mehreren Knoten sollte der DNS-Name der REST-Name sein, den Sie verwenden möchten.
• Bei Bereitstellungen mit einem einzelnen Knoten sollte der DNS-Name der Netzwerkcontrollername gefolgt vom vollständigen Domänennamen sein.

Bereitstellung	Syntax	Beispiel
Mehrere Knoten	New-SelfSignedCertificate -KeyUsageProperty All -Provider "Microsoft Strong Cryptographic Provider" -FriendlyName "<YourNCComputerName>" -DnsName @("<NCRESTName>")	New-SelfSignedCertificate -KeyUsageProperty All -Provider "Microsoft Strong Cryptographic Provider" -FriendlyName "MultiNodeNC" -DnsName @("NCCluster.Contoso.com")
Einzelner Knoten	New-SelfSignedCertificate -KeyUsageProperty All -Provider "Microsoft Strong Cryptographic Provider" -FriendlyName "<YourNCComputerName>" -DnsName @("<NCFQDN>")	New-SelfSignedCertificate -KeyUsageProperty All -Provider "Microsoft Strong Cryptographic Provider" -FriendlyName "SingleNodeNC" -DnsName @("SingleNodeNC.Contoso.com")

Exportieren des selbstsignierten Zertifikats

Exportieren Sie das Zertifikat und den zugehörigen privaten Schlüssel im PFX-Format.

1. Öffnen Sie das Snap-In Zertifikate (certlm.msc), und suchen Sie in „Persönliche Zertifikate“ nach dem Zertifikat.

2. Wählen Sie das Zertifikat aus, und klicken Sie auf >>>.

3. Wählen Sie Ja, exportieren Sie den privaten Schlüssel aus, und wählen Sie Weiter aus.

4. Wählen Sie die Option Privater Informationsaustausch – PKCS #12 (.PFX) aus, und übernehmen Sie die Standardeinstellung Wenn möglich, alle Zertifikate im Zertifizierungspfad einbeziehen.

5. Weisen Sie die Benutzer/Gruppen und ein Kennwort für das zertifikat zu, das Sie exportieren. Wählen Sie Weiter aus.

6. Navigieren Sie auf der Seite Zu exportierende Datei zum Standort, an dem Sie die exportierte Datei speichern möchten, und benennen Sie sie.

7. Exportieren Sie außerdem das Zertifikat im CER-Format.

   Hinweis

   Deaktivieren Sie die Option Ja, privaten Schlüssel exportieren, um zu einem CER-Format zu exportieren.

8. Kopieren Sie die PFX-Datei in den Ordner „ServerCertificate.cr“.

9. Kopieren Sie die CER-Datei in den Ordner „NCCertificate.cr“.

Wenn Sie fertig sind, aktualisieren Sie diese Ordner, und stellen Sie sicher, dass Sie diese Zertifikate kopiert haben.

Verwenden einer Zertifizierungsstelle

1. Fordern Sie ein von einer Zertifizierungsstelle signiertes Zertifikat an. Für eine Windows-basierte Unternehmenszertifizierungsstelle fordern Sie Zertifikate über den Zertifikatanforderungs-Assistenten an.

2. Stellen Sie sicher, dass das Zertifikat die serverAuth-EKU enthält, die durch die OID 1.3.6.1.5.5.7.3.1 angegeben wird. Darüber hinaus muss der Antragstellername des Zertifikats mit dem DNS-Namen des Netzwerkcontrollers übereinstimmen.

3. Kopieren Sie die PFX-Datei in den Ordner „ServerCertificate.cr“.

4. Kopieren Sie die CER-Datei in den Ordner „NCCertificate.cr“.

5. Kopieren Sie den öffentlichen Schlüssel der Zertifizierungsstelle im CER-Format nach „TrustedRootCertificate.cr“.

   Hinweis

   Stellen Sie sicher, dass die Unternehmenszertifizierungsstelle für die automatische Registrierung des Zertifikats konfiguriert ist.

Erweiterte Schlüsselverwendung

1. Wenn der persönliche Zertifikatspeicher (My – cert:\localmachine\my) auf dem Hyper-V-Host über mehrere X.509-Zertifikate mit dem Antragstellernamen (CN) als vollständig qualifiziertem Domänennamen (Fully Qualified Domain Name, FQDN) verfügt, stellen Sie sicher, dass das von SDN verwendete Zertifikat über eine zusätzliche benutzerdefinierte Eigenschaft „Erweiterte Schlüsselverwendung“ mit der OID 1.3.6.1.4.1.311.95.1.1.1 verfügt. Andernfalls funktioniert die Kommunikation zwischen Netzwerkcontroller und Host möglicherweise nicht.

2. Stellen Sie sicher, dass das von der Zertifizierungsstelle für die Kommunikation Richtung Süden ausgegebene Zertifikat über eine zusätzliche benutzerdefinierte Eigenschaft „Erweiterte Schlüsselverwendung“ mit der OID 1.3.6.1.4.1.311.95.1.1.1 verfügt.

Einrichten der Dienstvorlage

Importieren Sie die Vorlage, und aktualisieren Sie die Parameter für Ihre Umgebung.

Importieren der Vorlage

Importieren Sie die Dienstvorlage in die VMM-Bibliothek. In diesem Beispiel importieren Sie die Vorlage für Generation 2.

1. Wählen SieBibliotheksimportvorlage> aus.

2. Navigieren Sie zu Ihrem Dienstvorlagenordner, wählen Sie die Datei Network Controller Production Generation 2 VM.xml aus, und folgen Sie den Anweisungen zum Importieren der Datei.

3. Passen Sie die Parameter für Ihre Umgebung an, wenn Sie die Dienstvorlage importieren. Überprüfen Sie die Details, und wählen Sie dann Importieren aus.

   • WinServer.vhdx: Wählen Sie das Basisimage der virtuellen Festplatte aus, das Sie zuvor vorbereitet haben.
   • NCSetup.cr: Ordnen Sie diese Ressource dem Ordner „NCSetup.cr“ in Ihrer VMM-Bibliothek zu.
   • ServerCertificate.cr: Ordnen Sie diese Ressource dem Ordner „ServerCertificate.cr“ in der VMM-Bibliothek zu. Fügen Sie diesem Ordner außerdem das zuvor vorbereitete PFX-SSL-Zertifikat hinzu. Stellen Sie sicher, dass nur ein Zertifikat im Ordner ServerCertificate.cr vorhanden ist.
   • TrustedRootCertificate.cr: Ordnen Sie diese Ressource dem Ordner „TrustedRootCertificate.cr“ in Ihrer VMM-Bibliothek zu. Wenn Sie kein vertrauenswürdiges Stammzertifikat besitzen, muss diese Ressource dennoch einem CR-Ordner zugeordnet werden. Der Ordner muss jedoch leer bleiben.

4. Stellen Sie anschließend sicher, dass der Auftrag abgeschlossen ist.

Anpassen der Vorlage

Sie können die Dienstvorlage so anpassen, dass sie spezifische Anforderungen im Zusammenhang mit Ihrer organization erfüllt, z. B. Product Key, IP-Zuweisung, DHCP, MAC Spoofing und Hochverfügbarkeit. Sie können auch Eigenschaften für Objekte wie Hostgruppen, Hostcluster und Dienstinstanzen anpassen.

Im Folgenden sind die Schritte zum Eingeben des Product Key und zum Aktivieren von DHCP und der Hochverfügbarkeit angegeben:

1. Wählen Sie die Dienstvorlage in der VMM-Bibliothek aus, und öffnen Sie sie im Designer-Modus.

2. Doppelklicken Sie auf die Computerebene, um die Seite mit den Netzwerkcontroller-Eigenschaften von Windows Server zu öffnen.

3. Um einen Product Key anzugeben, wählen SieBetriebssystemkonfigurations-Product> Key aus, und geben Sie den von CCEP freigegebenen Schlüssel an.

4. Um Hochverfügbarkeit zu aktivieren, wählen Sie Hardwarekonfigurationsverfügbarkeit> aus, und aktivieren Sie das Kontrollkästchen Virtuelle Maschine hochverfügbar machen.

5. Um die dynamische IP-Konfiguration zu aktivieren und DHCP für die Verwaltung des Netzwerkcontrollers zu verwenden, wählen Sie den Netzwerkadapter im Designer aus, und ändern Sie den IPV4-Adresstyp in Dynamisch.

   Hinweis

   • Wenn Sie die Vorlage für Hochverfügbarkeit anpassen, stellen Sie sicher, dass Sie diese auf gruppierten Knoten bereitstellen.
   • Wenn Sie den Netzwerkcontroller konfigurieren und den FQDN als REST-Namen angeben, erstellen Sie vorab keinen Host A-Eintrag für Ihren primären NC-Knoten in DNS. Dies kann Einfluss auf die Konnektivität des Netzwerkcontrollers haben, wenn der primäre NC-Knoten geändert wird. Dies gilt auch, wenn Sie die NC mithilfe des SDN Express- oder VMM Express-Skripts bereitstellen.

Bereitstellen des Netzwerkcontrollers

1. Wählen Sie die Dienstvorlage für den Netzwerkcontroller aus, und klicken Sie auf >. Geben Sie einen Dienstnamen ein, und wählen Sie ein Ziel für den Dienst aus. Das Ziel muss der dedizierten Hostgruppe zugeordnet werden, die Hosts enthält, die vom Netzwerkcontroller verwaltet werden.

2. Konfigurieren Sie die Bereitstellungseigenschaften wie in der nachstehenden Tabelle beschrieben.

3. Es ist normal, dass die Instanzen der virtuellen Maschine zunächst in Rot angezeigt werden. Wählen Sie Vorschau aktualisieren aus, damit der Bereitstellungsdienst automatisch geeignete Hosts für die zu erstellenden virtuellen Computer findet.

4. Nachdem Sie diese Einstellungen konfiguriert haben, wählen Sie Dienst bereitstellen aus, um den Dienstbereitstellungsauftrag zu beginnen.

   Hinweis

   Die Bereitstellungszeit variiert je nach Hardware, liegt jedoch in der Regel zwischen 30 und 60 Minuten. Wenn Sie keine volumelizenzierte VHD\VHDX verwenden oder wenn die VHD\VHDX den Product Key nicht mithilfe einer Antwortdatei zur Verfügung stellt, wird die Bereitstellung während der Vm-Bereitstellung des Netzwerkcontrollers auf der Seite Product Key beendet. Sie müssen manuell auf den VM-Desktop zugreifen und den Product Key überspringen oder eingeben.

5. Wenn die Netzwerkcontrollerbereitstellung fehlschlägt, löschen Sie den fehlerhaften Dienst instance, bevor Sie die Bereitstellung des Netzwerkcontrollers wiederholen. Wählen Sie VMs und Dienste>Alle Hosts>Dienste aus, und löschen Sie die instance.

Bereitstellungseinstellungen

Einstellung	Anforderung	Beschreibung
ClientSecurityGroup	Erforderlich	Name der erstellten Sicherheitsgruppe mit den Konten der Netzwerkcontrollerclients.
DiagnosticLogShare	Optional	Speicherort der Dateifreigabe, in die die Diagnoseprotokolle regelmäßig hochgeladen werden. Wenn dies nicht angegeben wird, werden die Protokolle lokal auf jedem Knoten gespeichert.
DiagnosticLogShareUsername	Optional	Vollständiger Benutzername (einschließlich Domänenname) für ein Konto, das über Zugriffsberechtigungen für die Freigabe mit den Diagnoseprotokollen verfügt. Verwendet das Format [Domäne]\[Benutzername].
DiagnosticLogSharePassword	Optional	Das Kennwort für das mit dem Parameter „DiagnosticLogShareUsername“ angegebene Konto.
LocalAdmin	Erforderlich	Wählen Sie ein ausführendes Konto Ihrer Umgebung aus, das auf den virtuellen Maschinen des Netzwerkcontrollers als lokaler Administrator verwendet werden soll. Hinweis: Deaktivieren Sie beim Erstellen als ausführener Konten die Option Domänenanmeldeinformationen überprüfen , wenn Sie ein lokales Konto erstellen. Der Benutzername sollte „.\Administrator“ lauten (erstellen Sie den Benutzernamen, wenn er nicht vorhanden ist).
Verwaltung	Erforderlich	Wählen Sie das zuvor erstellte logische Verwaltungsnetzwerk aus.
MgmtDomainAccount	Erforderlich	Wählen Sie ein Ausführen als Konto in Ihrer Umgebung aus, das zum Vorbereiten des Netzwerkcontrollers verwendet wird. Dieser Benutzer muss Mitglied der zuvor angegebenen Management-Sicherheitsgruppe sein, die über die Berechtigungen zur Verwaltung des Netzwerkcontrollers verfügt.
MgmtDomainAccountName	Erforderlich	Vollständiger Benutzername (einschließlich Domänenname) für das ausführende Konto, das dem Konto „MgmtDomainAccount“ zugeordnet ist. Der Domänenbenutzername wird der Administratorgruppe bei der Bereitstellung hinzugefügt.
MgmtDomainAccountPassword	Erforderlich	Kennwort für das ausführende Verwaltungskonto, das dem Konto „MgmtDomainAccount“ zugeordnet ist.
MgmtDomainFQDN	Erforderlich	Vollständig qualifizierter Domänenname (FQDN) für die Active Directory-Domäne, der die virtuellen Maschinen des Netzwerkcontrollers hinzugefügt werden.
MgmtSecurityGroup	Erforderlich	Name der Sicherheitsgruppe mit den Verwaltungskonten für den Netzwerkcontroller.
RestEndPoint	Erforderlich	Geben Sie den RESTName ein, den Sie beim Vorbereiten der Zertifikate verwendet haben. Dieser Parameter wird für eigenständige Vorlagen nicht verwendet. Wenn sich die Knoten im selben Subnetz befinden, müssen Sie die REST-IP-Adresse bereitstellen. Wenn sich die Knoten in verschiedenen Subnetzen befinden, müssen Sie einen REST-DNS-Namen bereitstellen.
ServerCertificatePassword	Erforderlich	Das Kennwort für den Import des Zertifikats in den Computerspeicher.

Hinweis

Ab Windows Server 2019 muss den Netzwerkcontrollercomputern die Berechtigung zum Registrieren und Ändern des SPN im Active Directory erteilt werden. Weitere Informationen finden Sie unter Kerberos mit Dienstprinzipalname.

Hinzufügen und Konfigurieren des Netzwerkcontrollerdiensts in VMM

Nach der erfolgreichen Bereitstellung des Netzwerkcontrollerdienstes fügen Sie diesen Dienst als Netzwerkdienst zu VMM hinzu.

1. Klicken Sie in Fabric mit der rechten Maustaste aufNetzwerknetzwerkdienst>, und wählen Sie Netzwerkdienst hinzufügen aus.

2. Der Assistent Netzwerkdienst hinzufügen wird gestartet. Geben Sie einen Namen und optional eine Beschreibung an.

3. Wählen Sie als Hersteller Microsoft und als Modell Microsoft-Netzwerkcontroller aus.

4. Geben Sie auf der Registerkarte Anmeldeinformationen das ausführende Konto an, mit dem Sie den Netzwerkdienst konfigurieren möchten. Dies sollte das gleiche Konto sein, das Sie in der Gruppe der Netzwerkcontrollerclients angegeben haben.

5. Für die Verbindungszeichenfolge gilt Folgendes:

   • In einer Bereitstellung mit mehreren Knoten muss für ServerURL der REST-Endpunkt verwendet werden, und für servicename muss der Name der Netzwerkcontrollerinstanz eingesetzt werden.
   • In einer Bereitstellung mit einem einzelnen Knoten muss ServerURL der Netzwerkcontroller-FQDN und servicename der Namen der Netzwerkcontroller-Dienstinstanz sein. Beispiel: serverurl=https://NCCluster.contoso.com;servicename=NC_VMM_RTM

6. Unter Zertifikate prüfen wird eine Verbindung mit der virtuellen Maschine des Netzwerkcontrollers hergestellt, über die das Zertifikat abgerufen wird. Vergewissern Sie sich, dass das erwartete Zertifikat angezeigt wird. Stellen Sie sicher, dass Sie Diese Zertifikate wurden überprüft und können in den vertrauenswürdigen Zertifikatspeicher importiert werden auswählen.

7. Wählen Sie auf dem nächsten Bildschirm Scan Provider aus, um eine Verbindung mit Ihrem Dienst herzustellen, und listen Sie die Eigenschaften und deren status auf. Dies ist auch eine gute Möglichkeit, zu überprüfen, ob der Dienst ordnungsgemäß erstellt wurde und Sie die Verbindungszeichenfolge für diesen Dienst korrekt angegeben haben. Überprüfen Sie die Ergebnisse, und stellen Sie sicher, dass isNetworkController=true lautet. Wenn der Vorgang erfolgreich abgeschlossen wurde, wählen Sie Weiter aus.

8. Konfigurieren Sie die Hostgruppe, die Ihr Netzwerkcontroller verwalten soll.

9. Wählen Sie Fertig stellen aus, um den Assistenten abzuschließen. Wenn der Dienst in VMM hinzugefügt wurde, wird er in der Liste Netzwerkdienste in der VMM-Konsole angezeigt. Wenn der Netzwerkdienst nicht hinzugefügt wurde, überprüfen Sie zur Problembehandlung den Abschnitt Aufträge in der VMM-Konsole.

Überprüfen der Bereitstellung

Sie können optional die Netzwerkcontrollerbereitstellung überprüfen. Gehen Sie dazu folgendermaßen vor:

1. Erstellen Sie das vom Netzwerkcontroller zur Bereitstellung von VM-Konnektivität verwaltete Netzwerk HNV-Anbieter. Dieses Netzwerk wird verwendet, um zu überprüfen, ob der Netzwerkcontroller erfolgreich bereitgestellt wurde und dass sich Mandanten-VMs innerhalb desselben virtuellen Netzwerks gegenseitig pingen können. Dieses Netzwerk sollte in Ihrer physischen Netzwerkinfrastruktur vorhanden sein, und alle SDN-Fabric-Hosts sollten physisch mit dem Netzwerk verbunden sein.
2. Nach dem Erstellen des HNV-Anbieternetzwerks konfigurieren Sie darauf aufsetzend zwei Mandanten-VM-Netzwerks. Erstellen Sie VM-Netzwerke und IP-Adresspools, und stellen Sie die Mandanten-VMs bereit. Um sicherzustellen, dass der Netzwerkcontroller ordnungsgemäß bereitgestellt wurde, können Sie die Konnektivität zwischen zwei Mandanten-VMs testen, die auf unterschiedlichen Hosts bereitgestellt wurden.

Erstellen des HNV-Anbieternetzwerks

1. Starten Sie den Assistenten zum Erstellen eines logischen Netzwerks. Geben Sie einen Namen und eine optionale Beschreibung für dieses Netzwerk ein.

2. Vergewissern Sie sich unter Einstellungen, dass die Option Verbundenes Netzwerk aktiviert ist, da in allen HNV-Anbieternetzwerken zwischen allen Hosts in diesem Netzwerk Routingfähigkeit und Konnektivität bestehen muss. Stellen Sie sicher, dass Sie zulassen, dass neue VM-Netzwerke, die in diesem logischen Netzwerk erstellt wurden, die Netzwerkvirtualisierung verwenden können. Aktivieren Sie außerdem die Option Verwaltet durch den Netzwerkcontroller.

   

3. Fügen Sie im Bereich Netzwerkstandort den Netzwerkstandort für Ihr HNV-Anbieternetzwerk hinzu. Diese Informationen sollten die Hostgruppe, das Subnetz und VLAN-Informationen für das Netzwerk einschließen.
4. Überprüfen Sie die Informationen unter Zusammenfassung, und schließen Sie den Assistenten ab.

Erstellen des IP-Adresspools

Hinweis

Sie können IP-Adresspools mithilfe des Assistenten Logisches Netzwerk erstellen erstellen.

Für das logische HNV-Konfigurationsnetzwerk wird ein IP-Adresspool benötigt, selbst wenn in diesem Netzwerk DHCP verfügbar ist. Wenn Sie über mehr als ein Subnetz im Konfigurieren des HNV-Netzwerks verfügen, erstellen Sie einen Pool für jedes Subnetz.

1. Klicken Sie mit der rechten Maustaste auf das logische HNV-Konfigurationsnetzwerk, und klicken Sie anschließend auf >IP-Pool erstellen.
2. Geben Sie einen Namen und optional eine Beschreibung ein, und stellen Sie sicher, dass das logische HNV-Anbieternetzwerk als logisches Netzwerk ausgewählt ist.

3. Wählen Sie im Bereich Netzwerkstandort das Subnetz aus, das von diesem IP-Adresspool bedient werden soll. Wenn Sie mehr als ein Subnetz als Teil Ihres HNV-Anbieternetzwerks haben, müssen Sie einen statischen IP-Adresspool für jedes Subnetz erstellen. Wenn Sie nur einen Standort haben (z. B. wie die Beispieltopologie), können Sie einfach Weiter auswählen.

Hinweis

• Um die IPv6-Unterstützung zu aktivieren, fügen Sie ein IPv6-Subnetz hinzu, und erstellen Sie einen IPv6-Adresspool.
• Um die IPv4-Unterstützung zu aktivieren, fügen Sie ein IPv4-Subnetz hinzu, und erstellen Sie einen IPv4-Adresspool.
• Wenn Sie den IPv6-Adresspool verwenden möchten, fügen Sie dem Netzwerkstandort sowohl ein IPv4- als auch ein IPv6-Subnetz hinzu.
• Um die Unterstützung für duale Stapel zu aktivieren, erstellen Sie IP-Pools mit IPv4- und IPv6-Adressraum.

4. Konfigurieren Sie im Abschnitt IP-Adressbereich die Start- und End-IP-Adresse. Verwenden Sie nicht die erste IP-Adresse Ihres verfügbaren Subnetzes. Wenn Ihr Subnetz z.B. von .1 bis .254 reicht, beginnen Sie Ihren Bereich bei .2 oder höher.

5. Konfigurieren Sie als Nächstes die Standardgatewayadresse. Wählen Sie neben dem Feld Standardgateways die Option Einfügen aus, geben Sie die Adresse ein, und verwenden Sie die Standardmetrik. Konfigurieren Sie optional DNS und WINS.

6. Überprüfen Sie die Zusammenfassungsinformationen, und wählen Sie Fertig stellen aus, um den Assistenten abzuschließen.

7. Im Rahmen des Onboardings von Netzwerkcontrollern wurde der Switch, den Sie auf den Hosts für die Logische Netzwerkkonnektivität der Verwaltung bereitgestellt haben, in einen SDN-Switch konvertiert. Dieser Switch kann jetzt verwendet werden, um ein verwaltetes Netzwerk vom Netzwerkcontroller bereitzustellen, einschließlich des logischen Netzwerks des HNV-Anbieters. Stellen Sie sicher, dass Sie den Netzwerkstandort auswählen, der dem logischen Netzwerk des HNV-Anbieters in den Uplinkportprofileinstellungen für den logischen Switch Verwaltung entspricht.

   

Das logische HNV-Anbieternetzwerk steht jetzt allen Hosts der vom Netzwerkcontroller verwalteten Hostgruppe zur Verfügung.

Erstellen von Mandanten-VM-Netzwerken und IP-Adresspools

Erstellen Sie nun zwei VM-Netzwerke und IP-Pools für zwei Mandanten in Ihrer SDN-Infrastruktur, um die Konnektivität zu testen.

Hinweis

• Verwenden Sie nicht die erste IP-Adresse Ihres verfügbaren Subnetzes. Wenn Ihr Subnetz z.B. von .1 bis .254 reicht, beginnen Sie Ihren Bereich bei .2 oder höher.
• Derzeit können für logische Netzwerke, die vom Netzwerkcontroller verwaltet werden, noch keine VM-Netzwerke ohne Isolation erstellt werden. Bei der Erstellung von VM-Netzwerken für logische HNV-Anbieternetzwerke müssen Sie daher die Isolationsoption Mithilfe der Hyper-V-Netzwerkvirtualisierung isolieren aktivieren.

1. Erstellen Sie ein VM-Netzwerk für jeden Mandanten.

2. Erstellen Sie einen IP-Adresspool für jedes VM-Netzwerk.

Hinweis

Wenn Sie ein VM-Netzwerk erstellen, wählen Sie zum Aktivieren der IPv6-Unterstützung im IP-Adressprotokoll für das Dropdownmenü des VM-Netzwerks die Option IPv6 aus. Wenn Sie ein VM-Netzwerk erstellen, wählen Sie IPv4 und IPv6 aus dem IP-Adressprotokoll für das Dropdownmenü des VM-Netzwerks aus (gilt für 2022 und höher).

Wenn Sie VM-Subnetze erstellen, geben Sie zum Aktivieren der Unterstützung für duale Stapel sowohl das IPv4-Subnetz als auch das IPv6-Subnetz an, getrennt durch ein Semikolon (';'). (gilt für 2022 und höher).

Erstellen von Mandanten-VMs

Nun können Sie die Mandanten-VMs für die Verbindung mit dem virtuellen Mandantennetzwerk erstellen.

• Stellen Sie sicher, dass Ihre Mandanten-VMs IPv4/IPv6 ICMP über ihre Firewall zulassen. Standardmäßig blockiert Windows Server dieses Protokoll.
  • Führen Sie den Befehl New-NetFirewallRule –DisplayName “Allow ICMPv4-In” –Protocol ICMPv4 aus, um IPv4 ICMP in der Firewall zuzulassen.
  • Führen Sie den Befehl New-NetFirewallRule –DisplayName “Allow ICMPv6-In” –Protocol ICMPv6 aus, um IPv6 ICMP in der Firewall zuzulassen

1. Wenn Sie eine VM aus einer vorhandenen Festplatte erstellen möchten, folgen Sie diesen Anweisungen.
2. Nachdem Sie mindestens zwei mit Ihrem VM-Netzwerk verbundene VMs bereitgestellt haben, können Sie eine Mandanten-VM mittels Ping von der anderen Mandanten-VM kontaktieren, um zu überprüfen, ob der Netzwerkcontroller erfolgreich als Netzwerkdienst bereitgestellt wurde und das HNV-Anbieternetzwerk verwalten kann, sodass die virtuellen Mandantenmaschinen untereinander Pings absetzen können.

Hinweis

Um die Unterstützung für duale Stapel zu aktivieren, erstellen Sie für die VM-Netzwerke zwei IP-Pools, indem Sie im Dropdownmenü die beiden IP-Subnetze auswählen.

Erstellen Sie einen neuen virtuellen Computer, und stellen Sie das VM-Netzwerk für duale Stapel bereit, um dem virtuellen Computer sowohl IPv4- als auch IPv6-Adressen zuzuweisen.

Entfernen des Netzwerkcontrollers aus dem SDN-Fabric

Befolgen Sie diese Schritte, um den Netzwerkcontroller aus dem SDN-Fabric zu entfernen.

Nächste Schritte

Erstellen eines Moduls für den Softwarelastenausgleich