Einrichten eines SDN-RAS-Gateways im VMM-Fabric

Wichtig

Diese Version von Virtual Machine Manager (VMM) hat das Supportende erreicht. Sie sollten ein Upgrade auf VMM 2019 durchführen.

In diesem Artikel wird beschrieben, wie Sie ein SDN-RAS-Gateway (Software Defined Network, SDN) im Virtual Machine Manager-Fabric (VMM) von System Center einrichten.

Ein SDN-RAS-Gateway ist ein Datenpfadelement in SDN, die Standort-zu-Standort-Konnektivität zwischen zwei autonomen Systemen ermöglicht. Insbesondere ermöglicht ein RAS-Gateway eine Standort-zu-Standort-Konnektivität zwischen Remote-Mandantennetzwerken und Ihrem Rechenzentrum mithilfe von IPSec, Generic Routing Encapsulation (GRE) oder Layer 3-Weiterleitung. Erfahren Sie mehr.

Hinweis

  • Ab VMM 2019 UR1 wird der Typ von Ein verbundenes Netzwerk in Verbundenes Netzwerk geändert.
  • Ab VMM 2019 UR2 wird IPv6 unterstützt.

Vorbereitung

Stellen Sie Folgendes sicher, bevor Sie beginnen:

  • Planung: Informieren Sie sich über die Planung eines durch Software definierten Netzwerks (software defined network, SDN), und sehen Sie sich die Planungstopologie in diesem Dokument an. Das Diagramm zeigt als Beispiel ein Setup mit 4 Knoten. Das Setup ist mit drei Netzwerkcontrollerknoten (VM) und drei SLB/MUX-Knoten hoch verfügbar. Es zeigt zwei Mandanten mit einem virtuellen Netzwerk, das in zwei virtuelle Subnetze unterteilt ist, um eine Webebene und eine Datenbankebene zu simulieren. Sowohl die Infrastruktur als auch die virtuellen Maschinen der Mandanten können auf jedem physischen Host neu verteilt werden.
  • Netzwerkcontroller: Vor dem Bereitstellen des RAS-Gateways müssen Sie zunächst den Netzwerkcontroller bereitstellen.
  • SLB: Um sicherzustellen, dass Abhängigkeiten richtig verarbeitet werden, müssen Sie vor dem Einrichten des Gateways außerdem einen SLB bereitstellen. Wenn SLB und ein Gateway konfiguriert sind, können Sie eine IPsec-Verbindung verwenden und überprüfen.
  • Eine Dienstvorlage: VMM verwendet eine Dienstvorlage zum Automatisieren der Gatewaybereitstellung. Dienstvorlagen für den unterstützen auf VMs der Generation 1 und 2 eine Bereitstellung mit mehreren Knoten.

Bereitstellungsschritte

Gehen Sie zum Einrichten eines RAS-Gateways folgendermaßen vor:

  1. Herunterladen der Vorlage: Laden Sie die Dienstvorlage herunter, die Sie für die Bereitstellung des Gateways benötigen
  2. Erstellen eines logischen VIP-Netzwerks: Erstellen Sie ein logisches GRE-VIP-Netzwerk. Dazu ist ein IP-Adresspool für private VIPs und die Zuweisung von VIPs zu GRE-Endpunkten erforderlich. Das Netzwerk ist für die Definition von VIPs vorgesehen, die für eine Standort-zu-Standort-GRE-Verbindung Gateway-VMs zugewiesen sind, die im SDN-Fabric ausgeführt werden.
  3. Importieren der Dienstvorlage: Importieren Sie die Dienstvorlage für das RAS-Gateway.
  4. Bereitstellen des Gateways: Stellen Sie eine Gatewaydienstinstanz bereit, und konfigurieren Sie deren Eigenschaften.
  5. Überprüfen der Bereitstellung: Konfigurieren Sie Standort-zu-Standort-GRE, IPSec oder L3, und überprüfen Sie die Bereitstellung.

Herunterladen der Dienstvorlage

  1. Laden Sie den SDN-Ordner aus dem Microsoft SDN GitHub-Repository herunter, und kopieren Sie sie Vorlagen aus VMMVorlagenGW in den lokalen Pfad auf dem VMM-Server.
  2. Extrahieren Sie den Inhalt in einen Ordner auf einem lokalen Computer. Sie werden ihn später in die Bibliothek importieren.

Der Download enthält zwei Vorlagen:

  • Die VM-Vorlage „EdgeServiceTemplate_Generation 1 VM.xml“ dient zum Bereitstellen des Gatewaydiensts auf virtuellen Maschinen der Generation 1.
  • Die VM-Vorlage „EdgeServiceTemplate_Generation 2 VM.xml“ dient zum Bereitstellen des Gatewaydiensts auf virtuellen Maschinen der Generation 2.

Beide Vorlagen weisen eine Standardanzahl von drei virtuellen Maschinen auf, die im Dienstvorlagen-Designer geändert werden können.

Erstellen des logischen GRE-VIP-Netzwerks

  1. Starten Sie in der VMM-Konsole den Assistenten zum Erstellen eines logischen Netzwerks. Geben Sie einen Namen ein, stellen Sie optional eine Beschreibung bereit, und klicken auf Weiter.
  2. Wählen Sie unter Einstellungen die Option Ein verbundenes Netzwerk. Optional können Sie auch VM-Netzwerk mit dem gleichen Namen erstellen auswählen. Bei Aktivierung dieser Einstellung können VMs direkt auf logische Netzwerke zugreifen. Wählen Sie die Option Verwaltet durch den Netzwerkcontroller aus, und klicken Sie auf Weiter.
  • Wählen Sie ab VMM 2019 UR1 unter Einstellungen die Option Verbundenes Netzwerk und anschließend Verwaltet durch den Netzwerkcontroller aus, und klicken Sie auf Weiter.
  1. Legen Sie unter Netzwerkstandort die folgenden Einstellungen fest:

    Hier sind die Beispielwerte:

    • Netzwerkname: GRE VIP
    • Subnetz: 31.30.30.0
    • Maske: 24
    • VLAN-ID auf Trunk: NA
    • Gateway: 31.30.30.1
  1. Überprüfen Sie die Einstellungen unter Zusammenfassung, und beenden Sie den Assistenten.
  1. Wenn Sie IPv6 verwenden möchten, fügen Sie dem Netzwerkstandort sowohl ein IPv4- als auch ein IPv6-Subnetz hinzu. Hier sind die Beispielwerte:

    • Netzwerkname: GRE VIP
    • Subnetz: FD4A:293D:184F:382C::
    • Maske: 64
    • VLAN-ID auf Trunk: NA
    • Gateway: FD4A:293D:184F:382C::1
  2. Überprüfen Sie die Einstellungen unter Zusammenfassung, und beenden Sie den Assistenten.

Erstellen eines IP-Adresspools für GRE-VIP-Adressen

Hinweis

Ab VMM 2019 UR1 können Sie IP-Adresspools mithilfe des Assistenten Logisches Netzwerk erstellen erstellen.

  1. Klicken Sie mit der rechten Maustaste auf das logische GRE-VIP-Netzwerk und dann auf >>.
  2. Geben Sie einen Namen ein und optional eine Beschreibung für den Pool. Überprüfen Sie, dass das VIP-Netzwerk ausgewählt ist. Klicken Sie auf Weiter.
  3. Akzeptieren Sie die standardmäßige Netzwerkwebsite, und klicken Sie auf Weiter.
  1. Wählen Sie eine Start- und End-IP-Adresse für den Bereich aus. Starten Sie den Bereich an der zweiten Adresse Ihres verfügbaren Subnetzes. Wenn Ihr Subnetz z.B. von .1 bis .254 reicht, beginnen Sie Ihren Bereich bei .2.
  2. Geben Sie in das Feld Für Lastenausgleichs-VIPs reservierte IP-Adressen den Bereich der IP-Adressen im Subnetz ein. Dies sollte dem Bereich entsprechen, den Sie für die Start- und End-IP-Adressen verwendet haben.
  3. Sie müssen keine Informationen zu Gateway, DNS oder WINS angeben, weil dieser Pool nur für die Zuordnung von IP-Adressen für VIPs über den Netzwerkcontroller verwendet wird. Klicken Sie auf Weiter, um diese Bildschirme zu überspringen.
  4. Überprüfen Sie die Einstellungen unter Zusammenfassung, und beenden Sie den Assistenten.
  1. Falls Sie ein IPv6-Subnetz erstellt haben, erstellen Sie einen separaten IPv6-GRE-VIP-Adresspool.
  2. Wählen Sie eine Start- und End-IP-Adresse für den Bereich aus. Starten Sie den Bereich an der zweiten Adresse Ihres verfügbaren Subnetzes. Wenn Ihr Subnetz z.B. von .1 bis .254 reicht, beginnen Sie Ihren Bereich bei .2. Verwenden Sie für die Angabe des VIP-Bereichs nicht die verkürzte Form der IPv6-Adresse. Verwenden Sie das Format 2001:db8:0:200:0:0:0:7 anstelle von 2001:db8:0:200::7.
  3. Geben Sie in das Feld Für Lastenausgleichs-VIPs reservierte IP-Adressen den Bereich der IP-Adressen im Subnetz ein. Dies sollte dem Bereich entsprechen, den Sie für die Start- und End-IP-Adressen verwendet haben.
  4. Sie müssen keine Informationen zu Gateway, DNS oder WINS angeben, weil dieser Pool nur für die Zuordnung von IP-Adressen für VIPs über den Netzwerkcontroller verwendet wird. Klicken Sie auf Weiter, um diese Bildschirme zu überspringen.
  5. Überprüfen Sie die Einstellungen unter Zusammenfassung, und beenden Sie den Assistenten.

Importieren der Dienstvorlage

  1. Klicken Sie auf BibliothekVorlage importieren.

  2. Wechseln Sie zum Dienstvorlagenordner. Wählen Sie als Beispiel die Datei EdgeServiceTemplate Generation 2.xml aus.

  3. Passen Sie die Parameter für Ihre Umgebung an, wenn Sie die Dienstvorlage importieren. Beachten Sie, dass die Bibliotheksressourcen bei bereits während Bereitstellung des Netzwerkcontrollers importiert wurden.

    • WinServer.vhdx: Wählen Sie das Image der virtuellen Festplatte aus, das Sie bei der Bereitstellung des Netzwerkcontrollers bereits vorbereitet und importiert haben.
    • EdgeDeployment.CR: Ordnen Sie diese Ressource der Bibliotheksressource „EdgeDeployment.cr“ in der VMM-Bibliothek zu.
  4. Überprüfen Sie die Details auf der Seite Zusammenfassung, und klicken Sie auf Importieren.

    Hinweis: Sie können die Dienstvorlage anpassen. Weitere Informationen

Bereitstellen des Gatewaydiensts

In diesem Beispiel wird eine Vorlage der Generation 2 verwendet.

  1. Wählen Sie die Dienstvorlage EdgeServiceTemplate Generation2.xml aus, und klicken Sie auf Bereitstellung konfigurieren.

  2. Geben Sie einen Namen ein, und wählen Sie ein Ziel für die Dienstinstanz aus. Das Ziel muss zu einer Hostgruppe gehören, in der die zuvor für die Bereitstellung eines Gateways konfigurierten Hosts enthalten sind.

  3. Ordnen Sie unter Netzwerkeinstellungen das Verwaltungsnetzwerk dem VM-Verwaltungsnetzwerk zu.

    Hinweis: Nach Abschluss des Zuordnungsvorgangs wird das Dialogfeld Dienst bereitstellen angezeigt. Es ist normal, dass die Instanzen des virtuellen Computers zunächst in Rot angezeigt werden. Klicken Sie auf Vorschau aktualisieren, um automatisch geeignete Hosts für die VM zu ermitteln.

  4. Konfigurieren Sie links des Fensters Bereitstellung konfigurieren die folgenden Einstellungen:

    • AdminAccount. Erforderlich. Wählen Sie ein ausführendes Konto aus, das als lokaler Administrator auf den Gateway-VMs verwendet wird.
    • Verwaltungsnetzwerk. Erforderlich. Wählen Sie das Management-VM-Netzwerk aus, das Sie für die Verwaltung von Hosts erstellt haben.
    • Verwaltungskonto Erforderlich. Wählen Sie ein ausführendes Konto mit der Berechtigung zum Hinzufügen des Gateways zur Active Directory-Domäne, die dem Netzwerkcontroller zugeordnet ist. Dies kann dasselbe Konto sein, das in MgmtDomainAccount bei der Bereitstellung des Netzwerkcontrollers verwendet wurde.
    • FQDN Erforderlich. Der FQDN für die Active Directory-Domäne für das Gateway.
  5. Klicken Sie auf Dienst bereitstellen, um den Auftrag zur Dienstbereitstellung zu starten.

    Hinweis:

    • Die Bereitstellungszeit variiert je nach Hardware, liegt jedoch in der Regel zwischen 30 und 60 Minuten. Wenn bei der Gatewaybereitstellung ein Fehler auftritt, löschen Sie die fehlerhaften Dienstinstanzen unter Alle HostsDienste, bevor Sie die Bereitstellung wiederholen.

    • Wenn Sie keine volumenlizenzierte VHDX verwenden (oder der Product Key nicht über eine Antwortdatei zur Verfügung gestellt wird), wird die Bereitstellung während der Bereitstellung der virtuellen Maschinen auf der Seite Product Key angehalten. Sie müssen manuell auf den VM-Desktop zugreifen und entweder den Product Key eingeben oder diesen Schritt überspringen.

    • Wenn Sie eine bereitgestellte SLB-Instanz horizontal hoch- oder herunterskalieren möchten, lesen Sie diesen Blog.

Einschränkungen für Gateway

Für Gateways, die von einem Netzwerkcontroller verwaltet werden, gelten die folgenden Standardgrenzwerte:

  • MaxVMNetworksSupported= 50
  • MaxVPNConnectionsPerVMNetwork= 10
  • MaxVMSubnetsSupported= 550
  • MaxVPNConnectionsSupported= 250

Hinweis

Für ein virtualisiertes SDNv2-Netzwerk wird für jedes VM-Netzwerk ein internes Routingsubnetz erstellt. Der Grenzwert MaxVMSubnetsSupported schließt die internen Subnetze ein, die für VM-Netzwerke erstellt wurden.

Sie können die für das verwaltete Netzwerkcontrollergateway festgelegten Standardgrenzwerte außer Kraft setzen. Wenn Sie jedoch den Grenzwert auf eine höhere Anzahl festlegen, kann sich dies auf die Leistung des Netzwerkcontrollers auswirken.

Außerkraftsetzen der Gatewaygrenzwerte

Um die Standardgrenzwerte außer Kraft zu setzen, hängen Sie die Außerkraftsetzungszeichenfolge an die Verbindungszeichenfolge des Netzwerkcontrollerdiensts an und führen in VMM eine Aktualisierung durch.

  • MaxVMNetworksSupported= gefolgt von der Anzahl von VM-Netzwerken, die mit diesem Gateway verwendet werden können.
  • MaxVPNConnectionsPerVMNetwork= gefolgt von der Anzahl von VPN-Verbindungen, die pro VM-Netzwerk mit diesem Gateway erstellt werden können.
  • MaxVMSubnetsSupported= gefolgt von der Anzahl von VM-Subnetzwerken, die mit diesem Gateway verwendet werden können.
  • MaxVPNConnectionsSupported= gefolgt von der Anzahl von VPN-Verbindungen, die mit diesem Gateway verwendet werden können.

Beispiel:

Um die maximal zulässige Anzahl von VM-Netzwerken, die mit dem Gateway verwendet werden können, außer Kraft zu setzen und auf 100 festzulegen, aktualisieren Sie die Verbindungszeichenfolge wie folgt:

serverurl=https://NCCluster.contoso.com;servicename=NC_VMM_RTM; MaxVMNetworksSupported==100

Konfigurieren der Gateway-Manager-Rolle

Nachdem der Gatewaydienst bereitgestellt wurde, können Sie seine Eigenschaften konfigurieren und ihn einem Netzwerkcontrollerdienst zuordnen.

  1. Klicken Sie auf FabricNetzwerkdienst, um die Liste der installierten Netzwerkdienste anzuzeigen. Klicken Sie mit der rechten Maustaste auf den Netzwerkcontrollerdienst und dann auf >.

  2. Klicken Sie auf die Registerkarte Dienste, und wählen Sie die Gateway-Manager-Rolle aus.

  3. Suchen Sie unter Dienstinformationen nach dem Feld Zugeordneter Dienst, und klicken Sie auf Durchsuchen. Wählen Sie die Gatewaydienstinstanz aus, die Sie zuvor erstellt haben, und klicken Sie auf OK.

  4. Wählen Sie das ausführende Konto aus, das vom Netzwerkcontroller für den Zugriff auf Gateway-VMs verwendet wird.

    Hinweis: Das ausführende Konto muss über Administratorrechte auf den Gateway-VMs verfügen.

  5. Wählen Sie in GRE-VIP-Subnetz das VIP-Subnetz aus, das Sie zuvor erstellt haben.

  1. Wählen Sie unter Öffentlicher IPv4-Pool den Pool aus, den Sie während der SLB-Bereitstellung konfiguriert haben. Geben Sie unter Öffentliche IPv4-Adresse eine IP-Adresse aus dem vorherigen Pool ein, und stellen Sie sicher, dass Sie nicht die ersten drei IP-Adressen aus dem Bereich auswählen.
  1. Wählen Sie zum Aktivieren der IPv4-Unterstützung unter Öffentlicher IPv4-Pool den Pool aus, den Sie im Rahmen der SLB-Bereitstellung konfiguriert haben. Geben Sie unter Öffentliche IPv4-Adresse eine IP-Adresse aus dem vorherigen Pool ein, und stellen Sie sicher, dass Sie nicht die ersten drei IP-Adressen aus dem Bereich auswählen.

  2. Aktivieren Sie zum Aktivieren der IPv6-Unterstützung unter Eigenschaften von NetzwerkcontrollerDienste das Kontrollkästchen IPv6 aktivieren, wählen Sie das zuvor erstellte IPv6-GRE-VIP-Subnetz aus, und geben Sie den öffentlichen IPv6-Pool und die öffentliche IPv6-Adresse ein. Wählen Sie außerdem das IPv6-Front-End-Subnetz aus, das den virtuellen Gatewaycomputern zugewiesen wird.

    IPv6 enable

  3. Konfigurieren Sie unter Gatewaykapazität die Kapazitätseinstellungen.

    Die Gatewaykapazität (Mbit/s) steht für die normale TCP-Bandbreite, die von der Gateway-VM erwartet wird. Diesen Parameter müssen Sie abhängig von Ihrer zugrundeliegenden Netzwerkgeschwindigkeit anpassen.

    IPsec-Tunnelbandbreite ist auf (3/20) der Gatewaykapazität beschränkt. Das bedeutet, dass die entsprechende IPsec-Tunnelkapazität bei einer Gatewaykapazität von 1000 Mbit/s auf 150 MBit/s beschränkt wäre.

    Hinweis

    Die Bandbreitenbegrenzung ist der Gesamtwert der eingehenden und ausgehenden Bandbreite.

    Die entsprechenden Verhältnisse für GRE und L3-Tunnel sind 1/5 bzw. 1/2.

  4. Konfigurieren Sie im Feld Für Ausfälle reservierte Knoten die Anzahl der für die Sicherung reservierten Knoten.

  5. Um einzelne Gateway-VMs zu konfigurieren, klicken Sie auf den virtuellen Computer, wählen Sie das IPv4-Front-End-Subnetz aus, und legen Sie die lokale ASN fest. Optional können Sie für den BGP-Peer Informationen zum Gerät für das Peering hinzufügen.

Hinweis: Sie müssen die Gateway-BGP-Peers konfigurieren, wenn GRE-Verbindungen verwendet werden sollen.

Die von Ihnen bereitgestellte Dienstinstanz ist nun der Gateway-Manager-Rolle zugeordnet. Die Gateway-VM-Instanz sollte nun darunter angezeigt werden.

  1. Konfigurieren Sie unter Gatewaykapazität die Kapazitätseinstellungen.

    Die Gatewaykapazität (Mbit/s) steht für die normale TCP-Bandbreite, die von der Gateway-VM erwartet wird. Diesen Parameter müssen Sie abhängig von Ihrer zugrundeliegenden Netzwerkgeschwindigkeit anpassen.

    IPsec-Tunnelbandbreite ist auf (3/20) der Gatewaykapazität beschränkt. Das bedeutet, dass die entsprechende IPsec-Tunnelkapazität bei einer Gatewaykapazität von 1000 Mbit/s auf 150 MBit/s beschränkt wäre.

    Hinweis

    Die Bandbreitenbegrenzung ist der Gesamtwert der eingehenden und ausgehenden Bandbreite.

    Die entsprechenden Verhältnisse für GRE und L3-Tunnel sind 1/5 bzw. 1/2.

  2. Konfigurieren Sie im Feld Für Ausfälle reservierte Knoten die Anzahl der für die Sicherung reservierten Knoten.

  3. Um einzelne Gateway-VMs zu konfigurieren, klicken Sie auf den virtuellen Computer, wählen Sie das IPv4-Front-End-Subnetz aus, und legen Sie die lokale ASN fest. Optional können Sie für den BGP-Peer Informationen zum Gerät für das Peering hinzufügen.

Hinweis: Sie müssen die Gateway-BGP-Peers konfigurieren, wenn GRE-Verbindungen verwendet werden sollen.

Die von Ihnen bereitgestellte Dienstinstanz ist nun der Gateway-Manager-Rolle zugeordnet. Die Gateway-VM-Instanz sollte nun darunter angezeigt werden.

Überprüfen der Bereitstellung

Nachdem Sie das Gateway bereitgestellt haben, können Sie S2S-GRE, S2S-IPSec- oder L3-Verbindungstypen konfigurieren und überprüfen. Zusätzliche Informationen finden Sie unter:

Weitere Informationen über Verbindungstypen finden Sie in diesem Artikel.

Einrichten des Datenverkehrsselektors von PowerShell

Hier ist das Verfahren, um den Datenverkehrsselektor mithilfe von VMM-PowerShell einzurichten.

  1. Erstellen Sie de Datenverkehrsselektor mit den folgenden Parametern.

    Hinweis: Verwendete Werte sind nur Beispiele.

    $t= new-object Microsoft.VirtualManager.Remoting.TrafficSelector
    
    $t.Type=7 // IPV4=7, IPV6=8
    
    $t.ProtocolId=6 // TCP =6, reference: https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers
    
    $t.PortEnd=5090
    
    $t.PortStart=5080
    
    $t.IpAddressStart=10.100.101.10
    
    $t.IpAddressEnd=10.100.101.100
    
  2. Konfigurieren Sie den oben genannten Datenverkehrsselektor mithilfe des Parameters -LocalTrafficSelectors von Add-SCVPNConnection oder Set-SCVPNConnection.

Entfernen des Gateways vom SDN-Fabric

Befolgen Sie diese Schritte zum Entfernen des Gateways vom SDN-Fabric.