Einrichten eines SDN-Netzwerkcontrollers im VMM-Fabric

Wichtig

Diese Version von Virtual Machine Manager (VMM) hat das Supportende erreicht. Sie sollten ein Upgrade auf VMM 2019 durchführen.

In diesem Artikel wird beschrieben, wie Sie einen SDN-Netzwerkcontroller (Software Defined Network) im System Center – Virtual Machine Manager-Fabric (VMM) einrichten.

Der SDN-Netzwerkcontroller ist eine skalierbare und hoch verfügbare Serverrolle, mit der Sie die Konfiguration der Netzwerkinfrastruktur automatisieren können, statt jedes Netzwerkgerät manuell konfigurieren zu müssen. Weitere Informationen

Dieses Video (etwa fünf Minuten lang) bietet eine hervorragende Einführung und einen Überblick über die Bereitstellung von Netzwerkcontrollern.

Hinweis

Voraussetzungen

• Planen eines durch Software definierten Netzwerks (software defined network, SDN) Weitere Informationen

• Planen einer SDN-Netzwerkcontrollerinstallation und -bereitstellung Weitere Informationen

Vorbereitung

Um SDN im VMM-Fabric einzurichten, benötigen Sie Folgendes:

  • Eine Dienstvorlage: VMM verwendet eine Dienstvorlage zum Automatisieren der Netzwerkcontrollerbereitstellung. Dienstvorlagen für den Netzwerkcontroller unterstützen auf VMs der Generation 1 und 2 eine Bereitstellung mit mehreren Knoten.
  • Eine virtuelle Festplatte: Für die Dienstvorlage wird eine vorbereitete virtuelle Festplatte benötigt, die in die VMM-Bibliothek importiert wurde. Diese virtuelle Festplatte wird für Netzwerkcontroller-VMs verwendet.
    • Auf der virtuellen Festplatte muss Windows Server 2016 mit den neuesten installierten Patches ausgeführt werden.
    • Die Festplatte kann das VHD- oder VHDX-Format verwenden.
  • Ein logisches Verwaltungsnetzwerk: Dieses modelliert die Konnektivität Ihres physischen Verwaltungsnetzwerks für VMM-Host, Netzwerkcontrollerhosts und VM-Hosts der Mandanten.
  • Einen logischen Switch: Dieser stellt Konnektivität zwischen dem logischen Verwaltungsnetzwerk und den Netzwerkcontroller-VMs bereit.
  • Ein SSL-Zertifikat: Dieses authentifiziert die Kommunikation zwischen dem VMM-Server und dem Netzwerkcontroller.
  • Ein logisches HNV-Anbieternetzwerk und Mandanten-VM-Netzwerke: Diese überprüfen die Netzwerkcontrollerbereitstellung.
  • Weitere Voraussetzungen: Überprüfen Sie die weiteren Anforderungen.

Bereitstellungsschritte

Nachfolgend werden die erforderlichen Schritte zum Einrichten eines SDN-Netzwerkcontrollers aufgeführt.

  1. Konfigurieren der Hosts und der physischen Netzwerkinfrastruktur: Sie benötigen Zugriff auf Ihre physischen Netzwerkgeräte, um VLANs, Routing usw. konfigurieren zu können. Sie benötigen darüber hinaus Hyper-V-Hosts, um die SDN-Infrastruktur und Mandanten-VMs zu hosten. Weitere Informationen

  2. Vorbereiten einer virtuellen Festplatte: Sie können eine virtuelle Festplatte für die Netzwerkcontroller-Dienstvorlage im VHD- oder VHDX-Format vorbereiten, die für die von Ihnen ausgewählt Dienstvorlagengeneration geeignet ist.

  3. Herunterladen der Dienstvorlagen: Laden Sie die Netzwerkcontroller-Dienstvorlagen herunter, und importieren Sie sie anschließend in die VMM-Bibliothek.

  4. Einrichten von Active Directory-Sicherheitsgruppen: Sie benötigen eine Active Directory-Sicherheitsgruppe für die Netzwerkcontrollerverwaltung und eine weitere Sicherheitsgruppe für die Netzwerkcontrollerclients. In jeder Gruppe muss mindestens ein Benutzerkonto enthalten sein.

  5. Einrichten einer VMM-Bibliotheksfreigabe: Sie können eine optionale Bibliotheksdateifreigabe zur Aufbewahrung von Diagnoseprotokollen verwenden. Diese Bibliotheksfreigabe verwendet der Netzwerkcontroller zum Speichern der Diagnoseinformationen für die Dauer ihres Lebenszyklus.

  6. Einrichten einer VMM-Hostgruppe: Richten Sie eine dedizierte Hostgruppe für alle SDN-Hyper-V-Hosts ein.

    Hinweis

    Auf den Hosts muss Windows Server 2016 mit den neuesten installierten Patches ausgeführt werden, und die Hyper-V-Rolle muss aktiviert sein.

  7. Erstellen des logischen Verwaltungsnetzwerks: Erstellen Sie ein logisches Netzwerk, das die Konnektivität des Verwaltungsnetzwerks für VMM-Host, Netzwerkcontrollerhosts und VM-Hosts der Mandanten spiegelt. Wenn Sie statische IP-Adressen aus einem Pool zuweisen möchten, erstellen Sie einen Pool in diesem logischen Netzwerk.

  8. Erstellen und Bereitstellen eines logischen Switches für die Verwaltung: Erstellen Sie den logischen Switch, und stellen Sie ihn auf Netzwerkcontrollerhosts bereit, um Konnektivität zwischen dem Verwaltungsnetzwerk und den Netzwerkcontroller-VMs herzustellen.

  9. Einrichten eines Zertifikats: Sie benötigen ein SSL-Zertifikat für die sichere bzw. HTTPS-Kommunikation mit dem Netzwerkcontroller.

  10. Importieren der Vorlage: Importieren Sie die Netzwerkcontroller-Dienstvorlage, und passen Sie sie an.

  11. Bereitstellen des Diensts: Stellen Sie den Netzwerkcontrollerdienst mithilfe der Dienstvorlage bereit. Fügen Sie ihn dann als VMM-Dienst hinzu.

Vorbereiten einer virtuellen Festplatte

  1. Bereiten Sie die VHD oder VHDX auf Grundlage des Vorlagentyps vor, den Sie benutzen möchten.
  2. Installieren Sie nach der Vorbereitung der Festplatte die neuesten Updates für Windows Server 2016 sowie alle Sprachpakete, die Sie benötigen, wenn Sie keine englischsprachige Umgebung verwenden.
  3. Importieren Sie die VHD-/VHDX-Dateien in die VMM-Bibliothek. Weitere Informationen

Herunterladen der Netzwerkcontroller-Dienstvorlage

  1. Laden Sie den SDN-Ordner aus dem Microsoft SDN GitHub-Repository herunter, und kopieren Sie sie Vorlagen aus VMMVorlagenNC in den lokalen Pfad auf dem VMM-Server.

  2. Extrahieren Sie den Inhalt in einen Ordner auf einem lokalen Computer.

  3. Aktualisieren Sie die Bibliothek. Sie werden die Dienstvorlagen später importieren.

    Hinweis

    Die benutzerdefinierten Ressourcendateien werden beim Einrichten des Netzwerkcontrollers und anderer SDN-Komponenten verwendet (Softwarelastenausgleich, RAS-Gateway).

    Der NC-Ordner enthält vier Dienstvorlagen und fünf benutzerdefinierte Ressourcenordner. Diese werden in der folgenden Tabelle zusammengefasst:

Vorlagen und Ressourcendateien

Name Typ Details
Network Controller Production Generation 1 VM.xml Vorlage Netzwerkcontroller mit drei Knoten für VMs der Generation 1
Network Controller Production Generation 2 VM.xml Vorlage Netzwerkcontroller mit drei Knoten für VMs der Generation 2
Network Controller Standalone Generation 1 VM.xml Vorlage Netzwerkcontroller mit einem Knoten für VMs der Generation 1
Network Controller Standalone Generation 2 VM.xml Vorlage Netzwerkcontroller mit einem Knoten für VMs der Generation 2
NcSetup.cr Benutzerdefinierte Ressourcendatei Eine Bibliotheksressource mit Skripts zum Einrichten des Netzwerks.
ServerCertificate.cr Benutzerdefinierte Ressourcendatei Bibliotheksressource mit dem privaten Schlüssel für den Netzwerkcontroller im PFX-Format.
NcCertificate.cr Benutzerdefinierte Ressourcendatei Benutzerdefinierte Bibliotheksressource, die das vertrauenswürdige Stammzertifikat (CER) für den Netzwerkcontroller enthält. Diese wird für die sichere Kommunikation zwischen dem Netzwerkcontroller und anderen untergeordneten Diensten verwendet (z.B. SLB/MUX).
TrustedRootCertificate.cr Benutzerdefinierte Ressourcendatei Eine Bibliotheksressource mit dem öffentlichen Schlüssel des Zertifikats (CER), das als vertrauenswürdiges Stammzertifikat für die Validierung des SSL-Zertifikats importiert wird.
EdgeDeployment.cr Vorlage Wird zum Installieren von SLB/MUX-Rollen und Gatewayrollen (z.B. VPN) verwendet.

Einrichten von Active Directory-Gruppen

Erstellen Sie Sicherheitsgruppen für die Netzwerkcontrollerverwaltung und für Clients.

  1. Erstellen Sie in Active Directory-Benutzer und -Gruppen eine Active Directory-Sicherheitsgruppe für die Netzwerkcontrollerverwaltung.

    • Fügen Sie der Gruppe alle Benutzer hinzu, die die Berechtigung zum Konfigurieren der Netzwerkcontroller haben. Erstellen Sie beispielsweise eine Gruppe mit dem Namen „Netzwerkcontroller-Administratoren“.
    • Alle Benutzer, die Sie dieser Gruppe hinzufügen, müssen auch Mitglieder der Gruppe „Domänenbenutzer“ in Active Directory sein.
    • Die Gruppe für die Netzwerkcontrollerverwaltung sollte eine lokale Domänengruppe sein. Mitglieder dieser Gruppe können die Konfiguration des bereitgestellten Netzwerkcontrollers erstellen, löschen und aktualisieren.
    • Sie müssen mindestens ein Benutzerkonto erstellen, das Mitglied dieser Gruppe ist, und Sie müssen Zugriff auf die Anmeldeinformationen des Kontos haben. Nach der Bereitstellung des Netzwerkcontrollers kann VMM so konfiguriert werden, dass die Anmeldeinformationen dieses Benutzerkontos zum Einrichten der Kommunikation mit dem Netzwerkcontroller verwendet werden.
  2. Erstellen einer weiteren Active Directory-Sicherheitsgruppe für die Netzwerkcontrollerclients

    • Fügen Sie Benutzer mit der Berechtigung zum Konfigurieren und Verwalten von Netzwerken unter Verwendung von Netzwerkcontrollern hinzu. Erstellen Sie beispielsweise eine Gruppe mit dem Namen „Netzwerkcontroller-Benutzer“.
    • Alle Benutzer, die Sie der neuen Gruppe hinzufügen, müssen auch Mitglieder der Gruppe „Domänenbenutzer“ in Active Directory sein.
    • Die gesamte Konfiguration und Verwaltung des Netzwerkcontrollers erfolgt unter Verwendung von Representational State Transfer (DNS).
    • Es sollte sich bei der Gruppe um eine lokale Gruppe der Domäne handeln. Nach der Bereitstellung des Netzwerkcontrollers haben alle Mitglieder dieser Gruppe die Berechtigung zur Kommunikation mit dem Netzwerkcontroller über eine REST-basierte Schnittstelle.
    • Sie müssen mindestens ein Benutzerkonto erstellen, das Mitglied dieser Gruppe ist. Nach der Bereitstellung des Netzwerkcontrollers kann VMM so konfiguriert werden, dass die Anmeldeinformationen dieses Benutzerkontos zum Einrichten der Kommunikation mit dem Netzwerkcontroller verwendet werden.

Erstellen einer Bibliotheksfreigabe für die Protokollierung

  1. Optional können Sie eine Dateifreigabe in der VMM-Bibliothek erstellen, um in dieser Diagnoseprotokolle aufzubewahren.
  2. Stellen Sie sicher, dass über den Netzwerkcontroller auf die Freigabe zugegriffen werden kann. Der Netzwerkcontroller verwendet die Freigabe zum Speichern von Diagnoseinformationen. Notieren Sie sich die Anmeldeinformationen für das Konto, das Schreibzugriff auf die Freigabe hat.

Einrichten von Hostgruppen

  1. Erstellen Sie eine dedizierte Hostgruppe für Hyper-V-Hosts, die über SDN verwaltet werden.
  2. Stellen Sie sicher, dass Hyper-V-Hosts Windows Server 2016 mit den neuesten installierten Patches ausführen.

Erstellen des logischen Verwaltungsnetzwerks

Sie erstellen ein logisches Verwaltungsnetzwerk in VMM, um Ihr physisches Verwaltungsnetzwerk zu spiegeln.

  • Das logische Netzwerk bietet Einstellungen für die Netzwerkkonnektivität für den VMM-Host, die Netzwerkcontrollerhosts und die Mandanten-VM-Hosts.
  • Es wird empfohlen, dieses Verwaltungsnetzwerk zu erstellen, um für die durch den Netzwerkcontroller verwalteten virtuellen Maschinen innerhalb der Infrastruktur Konnektivität bereitzustellen.
  • Wenn Sie bereits über ein logisches VMM-Netzwerk verfügen, das über die Option VM-Netzwerk mit dem gleichen Namen erstellen, um virtuellen Maschinen den direkten Zugriff auf dieses logische Netzwerk zu ermöglichen erstellt wurde, können Sie dieses logische Netzwerk auch zum Bereitstellen von Konnektivität für den Netzwerkcontroller verwenden.

Gehen Sie wie folgt vor, um ein logisches Verwaltungsnetzwerk zu erstellen:

  1. Klicken Sie auf FabricNetzwerk. Klicken Sie mit der rechten Maustaste auf Logische NetzwerkeLogisches Netzwerk erstellen.
  2. Geben Sie einen Namen und optional eine Beschreibung an.
  1. Wählen Sie unter Einstellungen die Option Ein verbundenes Netzwerk. Alle Verwaltungsnetzwerke benötigen Routingfunktionalität und Konnektivität zwischen allen Hosts in diesem Netzwerk. Wählen Sie VM-Netzwerk mit dem gleichen Namen erstellen, um virtuellen Maschinen den direkten Zugriff auf dieses logische Netzwerk zu ermöglichen aus, um automatisch ein VM-Netzwerk für Ihr Verwaltungsnetzwerk zu erstellen.
  1. Wählen Sie unter Einstellungen die Option Ein verbundenes Netzwerk. Alle Verwaltungsnetzwerke benötigen Routingfunktionalität und Konnektivität zwischen allen Hosts in diesem Netzwerk. Wählen Sie VM-Netzwerk mit dem gleichen Namen erstellen, um virtuellen Maschinen den direkten Zugriff auf dieses logische Netzwerk zu ermöglichen aus, um automatisch ein VM-Netzwerk für Ihr Verwaltungsnetzwerk zu erstellen.

    Hinweis

    Ab VMM 2019 UR1 wird der Typ von Ein verbundenes Netzwerk in Verbundenes Netzwerk geändert.

  1. Klicken Sie auf NetzwerkstandortHinzufügen. Wählen Sie die Hostgruppe für die Hosts aus, die durch den Netzwerkcontroller verwaltet werden sollen. Fügen Sie die IP-Subnetzinformationen Ihres Verwaltungsnetzwerks ein. Dieses Netzwerk sollte bereits vorhanden und in Ihrem physischen Switch konfiguriert sein.
  2. Überprüfen Sie die Informationen auf der Seite Zusammenfassung und klicken Sie auf Fertig stellen.

Erstellen eines IP-Adresspools

Hinweis

Ab VMM 2019 UR1 können Sie IP-Adresspools mithilfe des Assistenten Logisches Netzwerk erstellen erstellen.

Wenn Sie Ihren Netzwerkcontroller-VMs statische IP-Adressen zuweisen möchten, benötigen Sie einen IP-Adresspool im logischen Verwaltungsnetzwerk. Wenn Sie DHCP verwenden, können Sie diesen Schritt überspringen.

  1. Klicken Sie in der VMM-Konsole mit der rechten Maustaste auf das logische Verwaltungsnetzwerk, und wählen Sie IP-Pool erstellen aus.

  2. Geben Sie einen Namen und optional eine Beschreibung für den IP-Pool ein, und stellen Sie sicher, dass das Verwaltungsnetzwerk als logisches Netzwerk ausgewählt ist.

  3. Wählen Sie im Bereich Netzwerkstandort das Subnetz aus, dem dieser IP-Adresspool zugeordnet sein soll.

  4. Geben Sie im Bereich IP-Adressbereich die Start- und die End-IP-Adressen ein.

  5. Um eine IP-Adresse als REST-IP zu verwenden, geben Sie eine der IP-Adressen aus dem bestimmten Bereich in das Feld Für einen anderen Verwendungszweck reservierte IP-Adressen ein. Überspringen Sie diesen Schritt, wenn Sie den REST-Endpunkt verwenden wollen.

    • Verwenden Sie nicht die ersten drei IP-Adressen Ihres verfügbaren Subnetzes. Wenn Ihr Subnetz z. B. von .1 bis .254 reicht, beginnen Sie Ihren Bereich bei .4 oder höher.
    • Wenn sich die Knoten im selben Subnetz befinden, müssen Sie eine REST-IP-Adresse bereitstellen. Wenn sich die Knoten in verschiedenen Subnetzen befinden, müssen Sie einen REST-DNS-Namen bereitstellen.
  6. Geben Sie die Adresse für das Standardgateway ein, und konfigurieren Sie optional DNS- und WINS-Einstellungen.

  7. Überprüfen Sie die Einstellungen auf der Seite Zusammenfassung, und klicken Sie auf Fertig stellen, um den Assistenten abzuschließen.

Erstellen und bereitstellen eines logischen Verwaltungsswitches

Sie müssen einen logischen Switch im logischen Verwaltungsnetzwerk bereitstellen. Der logische Switch sorgt für Konnektivität zwischen dem logischen Verwaltungsnetzwerk und den Netz.

  1. Klicken Sie in der VMM-Konsole auf FabricNetzwerkLogischen Switch erstellen. Lesen Sie die Informationen unter „Erste Schritte“, und klicken Sie auf Weiter.

  2. Geben Sie einen Namen und optional eine Beschreibung ein. Wählen Sie Kein Uplinkteam aus. Wenn Sie die Teamfunktion benötigen, wählen Sie Eingebettetes Team aus.

    Hinweis

    Verwenden Sie nicht Team.

  3. Wählen Sie für den Mindestbandbreitenmodus die Option Gewichtung aus.

  4. Deaktivieren Sie im Bereich Erweiterungen alle Switcherweiterungen. Dies ist wichtig, Falls Sie eine Switcherweiterung zu diesem Zeitpunkt wählen und dies später bei der Integration des Netzwerkcontrollers zu Problemen führen kann.

  5. Optional können Sie auf dieser Seite ein Profil für einen virtuellen Port hinzufügen und eine Portklassifizierung für die Hostverwaltung auswählen.

  6. Wählen Sie ein vorhandenes Uplinkportprofil aus, oder klicken Sie auf HinzufügenNeues Uplinkportprofil. Geben Sie einen Namen und optional eine Beschreibung ein. Verwenden Sie die Standardeinstellungen für den Lastenausgleichsalgorithmus und den Teammodus. Wählen Sie alle Netzwerkstandorte im logischen Verwaltungsnetzwerk aus.

  7. Klicken Sie auf New Network Adapter (Neuer Netzwerkadapter). Dadurch wird Ihrem logischen Switch und Ihrem Uplinkportprofil ein virtueller Netzwerkadapter (vNIC) für Hosts hinzugefügt. Wenn Sie den logischen Switch nun Ihren Hosts hinzufügen, wird der vNIC automatisch hinzugefügt.

  8. Geben Sie einen Namen für den vNIC ein. Überprüfen Sie, ob das VM-Verwaltungsnetzwerk im Bereich Konnektivität aufgeführt ist.

  9. Wählen Sie Dieser Netzwerkadapter wird für die Hostverwaltung verwendet Verbindungseinstellungen vom Hostadapter erben aus. Auf diese Weise werden die vNIC-Adaptereinstellungen von dem auf dem Host vorhandenen Adapter übernommen. Wenn Sie zuvor eine Portklassifizierung und ein Profil für einen virtuellen Port erstellt haben, können Sie diese nun auswählen.

  10. Überprüfen Sie die Informationen auf der Seite Zusammenfassung, und klicken Sie auf Fertig stellen, um den Assistenten abzuschließen.

Bereitstellen des logischen Switches

Sie müssen den logischen Verwaltungsswitch auf allen Hosts bereitstellen, auf denen Sie den Netzwerkcontroller (NC) bereitstellen möchten. Diese Hosts müssen ein Teil der VMM-Hostgruppe sein, die Sie zuvor erstellt haben Weitere Informationen.

Einrichten der Sicherheitszertifikate:

Für die sichere bzw. HTTPS-Kommunikation mit Netzwerkcontroller benötigen Sie ein SSL-Zertifikat. Sie können die folgenden Methoden verwenden:

  • Selbstsigniertes Zertifikat: Sie können ein selbstsigniertes Zertifikat generieren und es mit dem privaten Schlüssel exportieren, der über ein Kennwort geschützt ist.
  • Zertifikat einer Zertifizierungsstelle: Sie können ein Zertifikat verwenden, das von einer Zertifizierungsstelle (ZS) signiert wurde.

Verwenden eines selbstsignierten Zertifikats

Im folgenden Beispiel wird ein neues selbstsigniertes Zertifikat für den VMM-Server erstellt.

Hinweis

  • Sie können eine IP-Adresse als DNS-Name verwenden. Dies wird jedoch nicht empfohlen, da der Netzwerkcontroller dadurch auf ein einziges Subnetz eingeschränkt wird.
  • Sie können für Ihren Netzwerkcontroller einen beliebigen Anzeigenamen verwenden.
  • Für Bereitstellungen mit mehreren Knoten sollte der DNS-Name der REST-Name sein, den Sie verwenden möchten.
  • Bei Bereitstellungen mit einem einzelnen Knoten sollte der DNS-Name der Netzwerkcontrollername gefolgt vom vollständigen Domänennamen sein.
Bereitstellung Syntax Beispiel
Mehrere Knoten New-SelfSignedCertificate -KeyUsageProperty All -Provider "Microsoft Strong Cryptographic Provider" -FriendlyName "<YourNCComputerName>" -DnsName @("<NCRESTName>") New-SelfSignedCertificate -KeyUsageProperty All -Provider "Microsoft Strong Cryptographic Provider" -FriendlyName "MultiNodeNC" -DnsName @("NCCluster.Contoso.com")
Einzelner Knoten New-SelfSignedCertificate -KeyUsageProperty All -Provider "Microsoft Strong Cryptographic Provider" -FriendlyName "<YourNCComputerName>" -DnsName @("<NCFQDN>") New-SelfSignedCertificate -KeyUsageProperty All -Provider "Microsoft Strong Cryptographic Provider" -FriendlyName "SingleNodeNC" -DnsName @("SingleNodeNC.Contoso.com")

Exportieren des selbstsignierten Zertifikats

Exportieren Sie das Zertifikat und den zugehörigen privaten Schlüssel im PFX-Format.

  1. Öffnen Sie das Snap-In Zertifikate (certlm.msc), und suchen Sie in „Persönliche Zertifikate“ nach dem Zertifikat.

  2. Wählen Sie das Zertifikat aus, und klicken Sie auf >>>.

  3. Wählen Sie die Option Ja, privaten Schlüssel exportieren aus, und klicken Sie dann auf Weiter.

  4. Wählen Sie die Option Privater Informationsaustausch – PKCS #12 (.PFX) aus, und übernehmen Sie die Standardeinstellung Wenn möglich, alle Zertifikate im Zertifizierungspfad einbeziehen.

  5. Weisen Sie die Benutzer/Gruppen sowie ein Kennwort für das Zertifikat hinzu, das Sie exportieren. Klicken Sie auf Weiter.

  6. Navigieren Sie auf der Seite Zu exportierende Datei zum Standort, an dem Sie die exportierte Datei speichern möchten, und benennen Sie sie.

  7. Exportieren Sie außerdem das Zertifikat im CER-Format.

    Hinweis

    Deaktivieren Sie die Option Ja, privaten Schlüssel exportieren, um zu einem CER-Format zu exportieren.

  8. Kopieren Sie die PFX-Datei in den Ordner „ServerCertificate.cr“.

  9. Kopieren Sie die CER-Datei in den Ordner „NCCertificate.cr“.

Wenn Sie fertig sind, aktualisieren Sie diese Ordner, und stellen Sie sicher, dass Sie diese Zertifikate kopiert haben.

Verwenden einer Zertifizierungsstelle

  1. Fordern Sie ein von einer Zertifizierungsstelle signiertes Zertifikat an. Für eine Windows-basierte Unternehmenszertifizierungsstelle fordern Sie Zertifikate über den Zertifikatanforderungs-Assistenten an.

  2. Stellen Sie sicher, dass das Zertifikat die serverAuth-EKU mit der OID 1.3.6.1.5.5.7.3.1 enthält. Darüber hinaus muss der Antragstellername des Zertifikats mit dem DNS-Namen des Netzwerkcontrollers übereinstimmen.

  3. Kopieren Sie die PFX-Datei in den Ordner „ServerCertificate.cr“.

  4. Kopieren Sie die CER-Datei in den Ordner „NCCertificate.cr“.

  5. Kopieren Sie den öffentlichen Schlüssel der Zertifizierungsstelle im CER-Format nach „TrustedRootCertificate.cr“.

    Hinweis

    Stellen Sie sicher, dass die Unternehmenszertifizierungsstelle für die automatische Registrierung des Zertifikats konfiguriert ist.

Erweiterte Schlüsselverwendung

  1. Wenn der persönliche Zertifikatspeicher (My – cert:\localmachine\my) auf dem Hyper-V-Host über mehrere X.509-Zertifikate mit dem Antragstellernamen (CN) als vollständig qualifiziertem Domänennamen (Fully Qualified Domain Name, FQDN) verfügt, stellen Sie sicher, dass das von SDN verwendete Zertifikat über eine zusätzliche benutzerdefinierte Eigenschaft „Erweiterte Schlüsselverwendung“ mit der OID 1.3.6.1.4.1.311.95.1.1.1 verfügt. Andernfalls funktioniert die Kommunikation zwischen Netzwerkcontroller und Host möglicherweise nicht.

  2. Stellen Sie sicher, dass das von der Zertifizierungsstelle für die Kommunikation Richtung Süden ausgegebene Zertifikat über eine zusätzliche benutzerdefinierte Eigenschaft „Erweiterte Schlüsselverwendung“ mit der OID 1.3.6.1.4.1.311.95.1.1.1 verfügt.

Einrichten der Dienstvorlage

Importieren Sie die Vorlage, und passen Sie die Parameter für Ihre Umgebung an.

Importieren der Vorlage

Importieren Sie die Dienstvorlage in die VMM-Bibliothek. In diesem Beispiel importieren Sie die Vorlage für Generation 2.

  1. Klicken Sie auf BibliothekVorlage importieren.

  2. Navigieren Sie zu Ihrem Dienstvorlagenordner, wählen Sie die Datei Network Controller Production Generation 2 VM.xml aus, und folgen Sie den Anweisungen zum Importieren der Datei.

  3. Passen Sie die Parameter für Ihre Umgebung an, wenn Sie die Dienstvorlage importieren. Überprüfen Sie die Details, und klicken Sie dann auf Importieren.

    • WinServer.vhdx: Wählen Sie das Basisimage der virtuellen Festplatte aus, das Sie zuvor vorbereitet haben.
    • NCSetup.cr: Ordnen Sie diese Ressource dem Ordner „NCSetup.cr“ in Ihrer VMM-Bibliothek zu.
    • ServerCertificate.cr: Ordnen Sie diese Ressource dem Ordner „ServerCertificate.cr“ in der VMM-Bibliothek zu. Fügen Sie diesem Ordner außerdem das zuvor vorbereitete PFX-SSL-Zertifikat hinzu. Der Ordner „ServerCertificate.cr“ darf nur dieses eine Zertifikat enthalten.
    • TrustedRootCertificate.cr: Ordnen Sie diese Ressource dem Ordner „TrustedRootCertificate.cr“ in Ihrer VMM-Bibliothek zu. Wenn Sie kein vertrauenswürdiges Stammzertifikat besitzen, muss diese Ressource dennoch einem CR-Ordner zugeordnet werden. Der Ordner muss jedoch leer bleiben.
  4. Danach stellen Sie sicher, dass der Auftrag abgeschlossen ist.

Anpassen der Vorlage

Sie können die Dienstvorlage anpassen, um die besonderen Anforderungen zu erfüllen, die mit Ihrer Organisation in Verbindung stehen, z.B. Product Key, IP-Zuweisung, DHCP, MAC-Spoofing und hohe Verfügbarkeit. Sie können auch Eigenschaften für Objekte wie Hostgruppen, Hostcluster und Dienstinstanzen anpassen.

Im Folgenden sind die Schritte zum Eingeben des Product Key und zum Aktivieren von DHCP und der Hochverfügbarkeit angegeben:

  1. Wählen Sie die Dienstvorlage in der VMM-Bibliothek aus, und öffnen Sie sie im Designer-Modus.

  2. Doppelklicken Sie auf die Computerebene, um die Seite mit den Netzwerkcontroller-Eigenschaften von Windows Server zu öffnen.

  3. Um einen Product Key anzugeben, klicken Sie auf BetriebssystemkonfigurationProdukt Key, und geben Sie den über CCEP freigegebenen Schlüssel an.

  4. Um die Hochverfügbarkeit zu aktivieren, klicken Sie auf HardwarekonfigurationVerfügbarkeit, und wählen Sie das Kontrollkästchen Angabe, ob der virtuelle Computer hoch verfügbar gemacht werden soll aus.

  5. Um die dynamische IP-Konfiguration zu aktivieren und DHCP für die Netzwerkcontroller-Verwaltung zu verwenden, klicken Sie auf den Netzwerkadapter auf dem Designer, und ändern Sie die IPV4-Adresstyp zu dynamisch.

    Hinweis

    • Wenn Sie die Vorlage für Hochverfügbarkeit anpassen, stellen Sie sicher, dass Sie diese auf Clusterknoten bereitstellen.
    • Wenn Sie den Netzwerkcontroller konfigurieren und den FQDN als REST-Namen angeben, erstellen Sie vorab keinen Host A-Eintrag für Ihren primären NC-Knoten in DNS. Dies kann Einfluss auf die Konnektivität des Netzwerkcontrollers haben, wenn der primäre NC-Knoten geändert wird. Dies gilt auch, wenn Sie den NC mit SDN Express oder VMM-Express-Skripts bereitstellen.

Bereitstellen des Netzwerkcontrollers

  1. Wählen Sie die Dienstvorlage für den Netzwerkcontroller aus, und klicken Sie auf >. Geben Sie einen Dienstnamen ein, und wählen Sie ein Ziel für den Dienst aus. Das Ziel muss der dedizierten Hostgruppe mit den Hosts entsprechen, die über den Netzwerkcontroller verwaltet werden sollen.

  2. Konfigurieren Sie die Bereitstellungseigenschaften wie in der nachstehenden Tabelle beschrieben.

  3. Es ist normal, dass die Instanzen der virtuellen Maschine zunächst in Rot angezeigt werden. Klicken Sie auf Vorschau aktualisieren, um den Bereitstellungsdienst anzuweisen, nach geeigneten Hosts für die zu erstellenden virtuellen Maschinen zu suchen.

  4. Nachdem Sie diese Einstellungen konfiguriert haben, klicken Sie auf Dienst bereitstellen, um mit der Dienstbereitstellung zu beginnen.

    Hinweis

    Die Bereitstellungszeit variiert je nach Hardware, liegt jedoch in der Regel zwischen 30 und 60 Minuten. Hinweis: Wenn Sie keine volumenlizenzierte VHD\VHDX verwenden oder der Product Key für die VHD\VHDX nicht über eine Antwortdatei angegeben wird, wird die Bereitstellung während der VM-Bereitstellung des Netzwerkcontrollers auf der Seite Product Key angehalten. Sie müssen manuell auf den VM-Desktop zugreifen und den Product Key entweder überspringen oder eingeben.

  5. Wenn es bei der Bereitstellung des Netzwerkcontrollers zu einem Fehler kommt, löschen Sie die fehlerhafte Dienstinstanz, bevor Sie die Bereitstellung des Netzwerkcontrollers wiederholen. Klicken Sie auf VMs und DiensteAlle HostsDienste, und löschen Sie die Instanz.

Bereitstellungseinstellungen

Einstellung Anforderung Beschreibung
ClientSecurityGroup Erforderlich Name der erstellten Sicherheitsgruppe mit den Konten der Netzwerkcontrollerclients.
DiagnosticLogShare Optional Speicherort der Dateifreigabe, in die die Diagnoseprotokolle regelmäßig hochgeladen werden. Wenn der Speicherort nicht angegeben ist, werden die Protokolle lokal auf jedem Knoten gespeichert.
DiagnosticLogShareUsername Optional Vollständiger Benutzername (einschließlich Domänenname) für ein Konto, das über Zugriffsberechtigungen für die Freigabe mit den Diagnoseprotokollen verfügt. Verwendet das Format [Domäne]\[Benutzername].
DiagnosticLogSharePassword Optional Das Kennwort für das mit dem Parameter „DiagnosticLogShareUsername“ angegebene Konto.
LocalAdmin Erforderlich Wählen Sie ein ausführendes Konto Ihrer Umgebung aus, das auf den virtuellen Maschinen des Netzwerkcontrollers als lokaler Administrator verwendet werden soll.

Hinweis: Wenn Sie ein lokales Konto erstellen, deaktivieren Sie während der Erstellung von ausführenden Konten die Option Validate domain credentials (Domänenanmeldeinformationen prüfen).

Der Benutzername sollte „.\Administrator“ lauten (erstellen Sie den Benutzernamen, wenn er nicht vorhanden ist).
Verwaltung Erforderlich Wählen Sie das zuvor erstellte logische Verwaltungsnetzwerk aus.
MgmtDomainAccount Erforderlich Wählen Sie ein ausführendes Konto Ihrer Umgebung aus, das zur Vorbereitung des Netzwerkcontrollers verwendet werden soll. Dieser Benutzer muss Mitglied der zuvor angegebenen Management-Sicherheitsgruppe sein, die über die Berechtigungen zur Verwaltung des Netzwerkcontrollers verfügt.
MgmtDomainAccountName Erforderlich Vollständiger Benutzername (einschließlich Domänenname) für das ausführende Konto, das dem Konto „MgmtDomainAccount“ zugeordnet ist.

Der Domänenbenutzername wird der Administratorgruppe bei der Bereitstellung hinzugefügt.
MgmtDomainAccountPassword Erforderlich Kennwort für das ausführende Verwaltungskonto, das dem Konto „MgmtDomainAccount“ zugeordnet ist.
MgmtDomainFQDN Erforderlich Vollständig qualifizierter Domänenname (FQDN) für die Active Directory-Domäne, der die virtuellen Maschinen des Netzwerkcontrollers hinzugefügt werden.
MgmtSecurityGroup Erforderlich Name der Sicherheitsgruppe mit den Verwaltungskonten für den Netzwerkcontroller.
RestEndPoint Erforderlich Geben Sie den RESTName ein, den Sie beim Vorbereiten der Zertifikate verwendet haben. Dieser Parameter wird für eigenständige Vorlagen nicht verwendet.

Wenn sich die Knoten im selben Subnetz befinden, müssen Sie die REST-IP-Adresse bereitstellen. Wenn sich die Knoten in verschiedenen Subnetzen befinden, müssen Sie einen REST-DNS-Namen bereitstellen.
ServerCertificatePassword Erforderlich Das Kennwort für den Import des Zertifikats in den Computerspeicher.

Hinweis

Seit Windows 2019 muss den Computern mit den Netzwerkcontrollern die Berechtigung zum Registrieren und Ändern des SPN in Active Directory erteilt werden. Weitere Informationen finden Sie unter Kerberos with Service Principal Name (SPN) (Kerberos mit Dienstprinzipalname (Service Principal Name, SPN)).

Hinzufügen und Konfigurieren des Netzwerkcontrollerdiensts in VMM

Nach der erfolgreichen Bereitstellung des Netzwerkcontrollerdienstes fügen Sie diesen Dienst als Netzwerkdienst zu VMM hinzu.

  1. Klicken Sie in Fabric mit der rechten Maustaste auf NetzwerkNetzwerkdienst, und klicken Sie dann auf Netzwerkdienst hinzufügen.

  2. Der Assistent Netzwerkdienst hinzufügen wird gestartet. Geben Sie einen Namen und optional eine Beschreibung an.

  3. Wählen Sie als Hersteller Microsoft und als Modell Microsoft-Netzwerkcontroller aus.

  4. Geben Sie auf der Registerkarte Anmeldeinformationen das ausführende Konto an, mit dem Sie den Netzwerkdienst konfigurieren möchten. Dies sollte das gleiche Konto sein, das Sie in der Gruppe der Netzwerkcontrollerclients angegeben haben.

  5. Für die Verbindungszeichenfolge gilt Folgendes:

    • In einer Bereitstellung mit mehreren Knoten muss für ServerURL der REST-Endpunkt verwendet werden, und für servicename muss der Name der Netzwerkcontrollerinstanz eingesetzt werden.
    • In einer Bereitstellung mit einem einzelnen Knoten muss ServerURL der Netzwerkcontroller-FQDN und servicename der Namen der Netzwerkcontroller-Dienstinstanz sein. Beispiel: serverurl=https://NCCluster.contoso.com;servicename=NC_VMM_RTM
  6. Unter Zertifikate prüfen wird eine Verbindung mit der virtuellen Maschine des Netzwerkcontrollers hergestellt, über die das Zertifikat abgerufen wird. Vergewissern Sie sich, dass das erwartete Zertifikat angezeigt wird. Aktivieren Sie die Option Diese Zertifikate wurden geprüft und können in den Speicher der vertrauenswürdigen Zertifikate importiert werden.

  7. Klicken Sie auf dem nächsten Bildschirm auf Anbieter überprüfen, um eine Verbindung zu Ihrem Dienst herzustellen und die Eigenschaften des Diensts und deren Status anzuzeigen. Dies ist auch eine gute Möglichkeit, zu überprüfen, ob der Dienst ordnungsgemäß erstellt wurde und Sie die Verbindungszeichenfolge für diesen Dienst korrekt angegeben haben. Überprüfen Sie die Ergebnisse, und stellen Sie sicher, dass isNetworkController=true lautet. Klicken Sie nach erfolgreicher Ausführung auf Weiter.

  8. Konfigurieren Sie die Hostgruppe, die Ihr Netzwerkcontroller verwalten soll.

  9. Klicken Sie auf Fertig stellen, um den Assistenten abzuschließen. Wenn der Dienst in VMM hinzugefügt wurde, wird er in der Liste Netzwerkdienste in der VMM-Konsole angezeigt. Wenn der Netzwerkdienst nicht hinzugefügt wurde, überprüfen Sie zur Problembehandlung den Abschnitt Aufträge in der VMM-Konsole.

Überprüfen der Bereitstellung

Sie können optional die Netzwerkcontrollerbereitstellung überprüfen. Gehen Sie dazu folgendermaßen vor:

  1. Erstellen Sie das vom Netzwerkcontroller zur Bereitstellung von VM-Konnektivität verwaltete Netzwerk HNV-Anbieter. Mit diesem Netzwerk überprüfen Sie, ob der Netzwerkcontroller erfolgreich bereitgestellt wurde und die Mandanten-VMs innerhalb desselben virtuellen Netzwerks untereinander Pings absetzen können. Dieses Netzwerk sollte in Ihrer physischen Netzwerkinfrastruktur vorhanden sein, und alle SDN-Fabric-Hosts sollten physisch mit dem Netzwerk verbunden sein.
  2. Nach dem Erstellen des HNV-Anbieternetzwerks konfigurieren Sie darauf aufsetzend zwei Mandanten-VM-Netzwerks. Erstellen Sie VM-Netzwerke und IP-Adresspools, und stellen Sie die Mandanten-VMs bereit. Um sicherzustellen, dass der Netzwerkcontroller ordnungsgemäß bereitgestellt wurde, können Sie die Konnektivität zwischen zwei Mandanten-VMs testen, die auf unterschiedlichen Hosts bereitgestellt wurden.

Erstellen des HNV-Anbieternetzwerks

  1. Starten Sie den Assistenten zum Erstellen eines logischen Netzwerks. Geben Sie einen Namen und eine optionale Beschreibung für dieses Netzwerk ein.
  1. Vergewissern Sie sich auf der Seite Einstellungen, dass die Option Ein verbundenes Netzwerk aktiviert ist, da in allen HNV-Anbieternetzwerken zwischen allen Hosts in diesem Netzwerk Routingfähigkeit und Konnektivität bestehen muss. Vergewissern Sie sich, dass das Kontrollkästchen Zulassen, dass von neuen VM-Netzwerken, die in diesem logischen Netzwerk erstellt wurden, Netzwerkvirtualisierung verwendet wird aktiviert ist. Aktivieren Sie außerdem die Option Verwaltet durch den Netzwerkcontroller.
  1. Vergewissern Sie sich auf der Seite Einstellungen, dass die Option Ein verbundenes Netzwerk aktiviert ist, da in allen HNV-Anbieternetzwerken zwischen allen Hosts in diesem Netzwerk Routingfähigkeit und Konnektivität bestehen muss. Vergewissern Sie sich, dass das Kontrollkästchen Zulassen, dass von neuen VM-Netzwerken, die in diesem logischen Netzwerk erstellt wurden, Netzwerkvirtualisierung verwendet wird aktiviert ist. Aktivieren Sie außerdem die Option Verwaltet durch den Netzwerkcontroller.

    HNV network

    Hinweis

    Ab VMM 2019 UR1 wird der Typ von Ein verbundenes Netzwerk in Verbundenes Netzwerk geändert.

  1. Fügen Sie im Bereich Netzwerkstandort den Netzwerkstandort für Ihr HNV-Anbieternetzwerk hinzu. Diese Informationen sollten die Hostgruppe, das Subnetz und VLAN-Informationen für das Netzwerk einschließen.
  2. Überprüfen Sie die Informationen unter Zusammenfassung, und schließen Sie den Assistenten ab.

Erstellen des IP-Adresspools

Hinweis

Ab VMM 2019 UR1 können Sie IP-Adresspools mithilfe des Assistenten Logisches Netzwerk erstellen erstellen.

Für das logische HNV-Konfigurationsnetzwerk wird ein IP-Adresspool benötigt, selbst wenn in diesem Netzwerk DHCP verfügbar ist. Sind im HNV-Konfigurationsnetzwerk mehrere Subnetze vorhanden, erstellen Sie für jedes Subnetz einen eigenen Pool.

  1. Klicken Sie mit der rechten Maustaste auf das logische HNV-Konfigurationsnetzwerk, und klicken Sie anschließend auf >.
  2. Geben Sie einen Namen und optional eine Beschreibung ein, und stellen Sie sicher, dass das logische HNV-Anbieternetzwerk als logisches Netzwerk ausgewählt ist.
  1. Wählen Sie im Bereich Netzwerkstandort das Subnetz aus, das von diesem IP-Adresspool bedient werden soll. Wenn Ihr HNV-Anbieternetzwerk mehr als ein Subnetz enthält, müssen Sie für jedes Subnetz einen statischen IP-Adresspool erstellen. Wenn das Netzwerk wie in der Beispieltopologie nur aus einem Standort besteht, können Sie einfach auf Weiter klicken.
  1. Wählen Sie im Bereich Netzwerkstandort das Subnetz aus, das von diesem IP-Adresspool bedient werden soll. Wenn Ihr HNV-Anbieternetzwerk mehr als ein Subnetz enthält, müssen Sie für jedes Subnetz einen statischen IP-Adresspool erstellen. Wenn das Netzwerk wie in der Beispieltopologie nur aus einem Standort besteht, können Sie einfach auf Weiter klicken.

    Hinweis

    Fügen Sie zum Aktivieren der IPv6-Unterstützung ein IPv6-Subnetz hinzu, und erstellen Sie einen IPv6-Adresspool.

  1. Konfigurieren Sie im Abschnitt IP-Adressbereich die Start- und End-IP-Adresse. Verwenden Sie nicht die erste IP-Adresse Ihres verfügbaren Subnetzes. Wenn Ihr Subnetz z.B. von .1 bis .254 reicht, beginnen Sie Ihren Bereich bei .2 oder höher.

  2. Konfigurieren Sie als Nächstes die Standardgatewayadresse. Klicken Sie neben dem Kontrollkästchen Standardgateways auf Einfügen, geben Sie die Adresse ein, und übernehmen Sie die Standardmetrik. Konfigurieren Sie optional DNS und WINS.

  3. Überprüfen Sie die Informationen auf der Seite „Zusammenfassung“ und klicken Sie auf Fertig stellen, um den Assistenten abzuschließen.

  4. Im Zuge der Bereitstellung des Netzwerkcontrollers wurde der Switch, den Sie für die Konnektivität mit dem logischen Verwaltungsnetzwerk auf den Hosts bereitgestellt haben, in einen SDN-Switch konvertiert. Dieser Switch kann nun zur Bereitstellung eines vom Netzwerkcontroller verwalteten Netzwerks verwendet werden – auch zur Bereitstellung des logischen HNV-Anbieternetzwerks. Stellen Sie sicher, dass Sie in den Einstellungen des Uplinkportprofils für den logischen Verwaltungsswitch den Netzwerkstandort auswählen, der dem logischen HNV-Anbieternetzwerk zugeordnet ist.

    Uplink port

Das logische HNV-Anbieternetzwerk steht jetzt allen Hosts der vom Netzwerkcontroller verwalteten Hostgruppe zur Verfügung.

Erstellen von Mandanten-VM-Netzwerken und IP-Adresspools

Jetzt erstellen Sie zum Testen der Konnektivität in Ihrer SDN-Infrastruktur zwei VM-Netzwerke und IP-Adresspools für zwei Mandanten.

Hinweis

  • Verwenden Sie nicht die erste IP-Adresse Ihres verfügbaren Subnetzes. Wenn Ihr Subnetz z.B. von .1 bis .254 reicht, beginnen Sie Ihren Bereich bei .2 oder höher.
  • Derzeit können für logische Netzwerke, die vom Netzwerkcontroller verwaltet werden, noch keine VM-Netzwerke ohne Isolation erstellt werden. Bei der Erstellung von VM-Netzwerken für logische HNV-Anbieternetzwerke müssen Sie daher die Isolationsoption Mithilfe der Hyper-V-Netzwerkvirtualisierung isolieren aktivieren.
  • Da der Netzwerkcontroller noch nicht mit IPv6 getestet wurde, sollten Sie bei der Erstellung eines VM-Netzwerks sowohl für das logische Netzwerk als auch für das VM-Netzwerk IPv4 verwenden.
  1. Erstellen Sie ein VM-Netzwerk für jeden Mandanten.

  2. Erstellen Sie einen IP-Adresspool für jedes VM-Netzwerk.

Hinweis

Wenn Sie beim Erstellen eines VM-Netzwerks die IPv6-Unterstützung aktivieren möchten, wählen Sie im Dropdownmenü IP-Adressprotokoll für das VM-Netzwerk die Option „IPv6“ aus.

isolate using HNV network

Erstellen von Mandanten-VMs

Nun können Sie die Mandanten-VMs für die Verbindung mit dem virtuellen Mandantennetzwerk erstellen.

  • Stellen Sie sicher, dass Ihre Mandanten-VMs über ihre Firewall IPv4 ICMP zulassen. Standardmäßig blockiert Windows Server dieses Protokoll.
  • Führen Sie den Befehl New-NetFirewallRule –DisplayName “Allow ICMPv4-In” –Protocol ICMPv4 aus, um IPv4 ICMP in der Firewall zuzulassen.
  • Stellen Sie sicher, dass Ihre Mandanten-VMs IPv4/IPv6 ICMP über ihre Firewall zulassen. Standardmäßig blockiert Windows Server dieses Protokoll.
    • Führen Sie den Befehl New-NetFirewallRule –DisplayName “Allow ICMPv4-In” –Protocol ICMPv4 aus, um IPv4 ICMP in der Firewall zuzulassen.
    • Führen Sie den Befehl New-NetFirewallRule –DisplayName “Allow ICMPv6-In” –Protocol ICMPv6 aus, um IPv6 ICMP in der Firewall zuzulassen (ab 2019 UR2).
  1. Wenn Sie eine VM aus einer vorhandenen Festplatte erstellen möchten, folgen Sie diesen Anweisungen.
  2. Nachdem Sie mindestens zwei mit Ihrem VM-Netzwerk verbundene VMs bereitgestellt haben, können Sie eine Mandanten-VM mittels Ping von der anderen Mandanten-VM kontaktieren, um zu überprüfen, ob der Netzwerkcontroller erfolgreich als Netzwerkdienst bereitgestellt wurde und das HNV-Anbieternetzwerk verwalten kann, sodass die virtuellen Mandantenmaschinen untereinander Pings absetzen können.

Entfernen des Netzwerkcontrollers aus dem SDN-Fabric

Befolgen Sie diese Schritte, um den Netzwerkcontroller aus dem SDN-Fabric zu entfernen.

Nächste Schritte

Erstellen eines Moduls für den Softwarelastenausgleich