软件定义的网络 – 使用 Hyper-V 网络虚拟化的混合云(第 3 部分)
大家好!
欢迎阅读本“软件定义的网络”博客系列的最后一部分(第 3 部分,共 3 部分)。
在上一篇文章中,我们已经介绍过多租户 S2S VPN 和 NAT 如何为包含多个不同租户(具有 Fabrikam 网络托管的重叠 IP 地址)的虚拟机提供不同模式的连接。在本文中,我们将介绍 Fabrikam 如何才能运用这些技术将灾难恢复作为服务进行部署。
全面整合:使用Windows Server 2012 R2 执行基于云的灾难恢复
场景概述
Fabrikam 提供灾难恢复服务,它允许租户将虚拟机复制到 Fabrikam 数据中心。如果必须恢复虚拟机,则启动虚拟机,将其连接至租户虚拟网络并分配租户虚拟网络 IP 地址。在将虚拟机连接至租户虚拟网络之后,将可以通过 VPN(站点到站点和点到站点)进行访问,而且虚拟机还可通过 NAT 访问 Internet 资源。另外,Fabrikam 也为其客户提供自助服务云服务,以便使用、配置其网络,支持直接访问 Internet,或为场所设置 VPN(S2S 和 P2S)连接。
首先,我们来了解一下 Contoso 如何才能将其虚拟机复制到 Fabrikam 并在“恢复后”使用多租户网关通过点到站点 VPN 进行访问。另外,我们还会介绍 Woodgrove 如何才能将其虚拟机从纽约站点 (NY) 复制到 Fabrikam。如果 NY 站点发生灾难,所有关键虚拟机均将被还原至 Fabrikam,并可从 Woodgrove 的旧金山 (SFO) 站点进行访问。
复制时,我们假设已在 Windows Server 中部署 Hyper-V 复制功能。此链接提供了有关主机上所需的必要 Hyper-v 副本配置的详细信息。
设置灾难恢复基础结构
设置 Fabrikam 网络以允许灾难恢复包含以下几项操作:
- 步骤 1:促进将不同租户的虚拟机复制到 Fabrikam 数据中心
- 步骤 2:虚拟机恢复期间:将虚拟机连接至租户虚拟网络
- 步骤 3:将租户网络中的虚拟机连接至外部网络
步骤 1 :将虚拟机复制到 Fabrikam 数据中心
要使用 Hyper-v 副本复制虚拟机,需要能够通过租户站点中的名称访问作为复制目标的主机。要启用多个复制目标主机,Fabrikam 可以使用 FQDN(如 replica.fabrikam.com),然后根据端口号将流量路由至不同的主机。例如,Fabrikam 部署三个主机(内部名称分别为 TenantHost1、TenantHost2 和 TenantHost3)并映射至不同的端口号。使用单一名称可以使 Fabrikam 在无需做出任何其他基础结构调整(如 DNS)也无需获取其他公用 IP 的情况下动态扩展该服务。Fabrikam 通过部署 NAT 及分配专用地址范围内的 IP,避免浪费多个公用 IP。下表通过举例说明了一个终端主机映射样本 IP URL:
通过运用此方法,Fabrikam 只需在 NAT 中添加项即可将新主机添加至副本服务器群集。
上图显示,Woodgrove 和 Contoso 将具有相同 IP 地址 (10.1.0.10) 的虚拟机复制到 IP 地址为 192.168.1.81 的同一主机。MTGatewayVM 后的主机的公用 IP 为 131.107.0.10。MTGatewayVM 负责对传入的数据包执行 NAT,以便将流量发送至主机 192.168.1.81。以下 cmdlet 用于在 GW-VM 上执行 NAT:
最后一个 cmdlet 用于添加必要的 NAT 映射,以便将 131.107.0.10:8001 的副本流量转换为 IP 地址 192.168.1.81。要添加其他副本服务器,Fabrikam 管理员只需添加另一个 NAT 地址,如下所示。
这是 MTGatewayVM 上所需的网络配置,以便在 Fabrikam 设置数据路径,使租户能够复制其虚拟机。
注意: 为确保保护 MTGatewayVM,Fabrikam 将必须在连接网关的设备上部署防火墙。
步骤 2 :将虚拟机连接至租户虚拟网络
完成初始虚拟机复制后,虚拟机的 VNIC 将被连接至 Fabrikam 网络。为确保虚拟机 ContosoVM01 连接至 Contoso 虚拟网络,需要在 TenantHost1 上执行以下 cmdlet:
New-NetVirtualizationLookupRecord -CustomerAddress 10.0.0.10 -VirtualSubnetID 6000 -MACAddress 00155D393301 -ProviderAddress 192.168.1.81 -Rule TranslationMethodEncap
需要在包含虚拟子网 6000 Contoso 虚拟机的所有主机上执行相同的 cmdlet。完成此配置后,每当 Contoso 虚拟机启动时,都将作为 Contoso 虚拟子网 6000 的一部分。
注意: 不能通过 Virtual Machine Manager 更改副本虚拟机(已阻止对 VMM 中的副本虚拟机执行 Set-VM),取而代之的是,在此步骤中使用 HNV PowerShell API。但是,建议使用 Windows Azure Hyper-V Recovery Manager (HVRM) 通过在另一位置协调和策划虚拟机复制和恢复来帮助保护业务关键服务。HVRM 提供网络配对并将副本虚拟机自动连接至目标虚拟机网络。此链接对部署 Hyper-V Recovery Manager 所需的步骤进行了简要介绍。有关更多详细说明和程序,请阅读以下文章:
- Hyper-V Recovery Manager 规划指南 — 此指南汇总了启动 Hyper-V Recovery Manager 全面部署之前应满足的先决条件及执行的规划步骤。
- Hyper-V Recovery Manager 部署指南 — 此指南提供执行全面部署的分步部署说明。
步骤 3 :执行虚拟机外部连接
复制租户虚拟机并将其纳入 Fabrikam 网络后,需要确保可以从外部网络访问虚拟机。对于 Contoso 一类采用单一办公站点的企业而言,如果因内部部署虚拟机不可用导致发送灾难时,企业员工将能够通过 VPN 访问 Contoso 虚拟机。本系列博客的第 2 部分已对在 MTGatewayVM 上启用 VPN 的步骤进行了详细介绍。要使用 IP 地址为 10.0.0.10 的 Contoso 虚拟机访问 Internet 服务器,需要在 MTGatewayVM 上配置 NAT。第 2 部分也提供了 NAT 配置详细信息。
如下图所示,尽管位于纽约的唯一办公室不可用,Contoso 员工仍然能够通过点到站点 VPN 连接访问 Contoso 虚拟机。
现在,我们来介绍一下企业(如 Woodgrove 银行)如何才能利用 Fabrikam 服务,并确保可以访问其业务关键应用程序。
在下图中,当 Woodgrove 纽约站点变得不可用后,虚拟机将被迁移至 Fabrikam 的 Woodgrove 虚拟网络。其虚拟机的 IP 地址将与纽约站点完全相同。Woodgrove SFO 站点的应用程序仍然可以像虚拟机位于纽约站点时一样访问虚拟机。使用边界网关协议 (BGP) 时,无需对 Woodgrove 旧金山站点做出任何其他调整,即可通过 Fabrikam S2S VPN 将流量路由至 10.0.0.0/24。以下是操作步骤:
- 当 Woodgrove 纽约站点发生故障时,BGP 将在对等网络中断时删除通过 S2S VPN 接口呈现到纽约站点的路由 10.0.0.0/24。
- 在将子网 10.0.0.0/24 路由添加至 MTGatewayVM 的 Woodgrove 分段后,Woodgrove SFO 路由器的 BGP 会将 S2S VPN 接口的路由 10.0.0.0/24 添加至 Fabrikam。
Fabrikam 还为其客户提供自助式多租户云门户,从而使他们能够设置、配置和使用虚拟网络基础结构。下一部分详细将介绍租户管理员设置虚拟网络基础结构需要遵循的一些步骤。
使用 Windows Azure 包管理虚拟网络基础结构
使用面向 Windows Server 的 Windows Azure 包时,Fabrikam 将为其客户提供多租户云服务门户,从而使其能够配置虚拟网络、使用 NAT 直接访问 Internet,并为场所设置 VPN 连接(S2S 和 P2S)。
在本部分中,我们将简要介绍租户管理员从租户管理门户设置网络服务需要遵循的一些步骤。
注意: 此部分不提供为支持 VM Clouds 场景而部署和配置 Windows Azure 包的信息。有关产品的详细信息,请访问此链接。
1. 执行身份验证后,将显示初始页面。租户管理员可以选择 Fabrikam 提供的各种服务。
2. 要创建新的 VM 网络,租户管理员应单击 “+NEW” 选项,选择 Virtual Network,然后单击 “Custom Create” 选项。
3. 选择 “Create Networks” 后,将显示以下网页,管理员可在这里指定虚拟网络的名称并选择使用 IPv4 还是 IPv6。
4. 下一页将提供各种网关服务的详细信息,管理员可选择需要为虚拟网络配置的服务。
此处指定的 DNS 服务器地址将在租户虚拟网络的 IP 池选项中进行配置,以便通过特定的 DNS 服务器配置虚拟网络中的虚拟机。
使 NAT 允许虚拟网络中的虚拟机访问 Internet 资源。
使站点到站点连接允许在租户虚拟网络与租户场所网络的虚拟机之间建立连接。
使 BGP 允许租户场所站点与虚拟网络间的租户路由通过 BGP 进行交换,而无需执行手动路由配置。
网关子网是网关虚拟机上的租户分段子网。Contoso 管理员应确保此子网与任何 Contoso 站点中的任何其他 IP 子网均不重叠。系统从子网的第二个 IP 为租户分段的 VSID interface 分配 IP 地址。基于上方屏幕提供的参数,系统将为 VSID 接口分配 IP 地址 10.254.254.2 。 IP 地址 10.254.254.1 保留为 HNV distributed router 专用。不在租户虚拟网络中呈现的所有子网流量均将被路由至 10.254.254.1。而后,HNV 分布式路由器将所有流量路由至 10.254.254.2,数据包进入网关的租户分段。在租户分段中,如果在任何接口上发现匹配的路由,则将流量转发至该接口。否则,通过 NAT 处理流量(假设默认分段中包含匹配的路由)。如果在租户分段 S2S 接口上发现匹配的路由,则通过 S2S VPN 将流量安全转发至对应的租户站点。
5. 接下来,租户管理员需要为其虚拟网络指定地址空间。
6. 下一页允许指定站点到站点 VPN 详细信息:
Name of the connection 用于在网关上创建 S2S 接口。
VPN Device IP address 是租户场所的 VPN 设备的地址。此地址被配置为 S2S 接口的目标地址。
Shared Key 是用于对 S2S 连接执行身份验证的密钥。
必需指定需要在 S2S 接口上添加的所有静态路由。如果未对企业场所的所有路由启用 BGP,需要在此处指定。如果启用了 BGP,则需要指定企业 BGP 对等网络所属的子网。
7. 向导的下一页允许管理员指定 BGP 参数。
需要为 Fabrikam 的 Contoso 虚拟网络分配 ASN number。对于租户场所的每个 BGP 对等网络,必须指定其 IP 地址和 ANS 号。租户分段的 BGP 路由器将尝试与指定的每个内部对等网络实现对等。
8. 成功设置虚拟网络后,将显示以下页面。
9. 通过上述流程创建虚拟网络后,租户只需单击上方页面中的虚拟网络即可指定其他参数。下方页面允许管理员指定更多选项。如页面中所示,租户管理员可下载 VPN scripts 以配置其场所的 VPN 设备。
10. 选择 “Rules” 选项卡时,将显示 NAT 规则。选择 “Site-To-Site VPN” 时,则显示一个包含配置的所有 S2S VPN 连接的页面。租户管理员可选择特定的 VPN 连接,然后单击 Edit 以修改 VPN 连接的参数。企业场所 VPN 设备的 IP 地址可在下页进行修改。
11. 下一页允许在 VPN 设备后台更新网络中的 Routes,同时还可在每个方向为选择的站点到站点 VPN 接口指定带宽限制。
本文到此结束!
在本文中,我们介绍了 Windows Server 2012 R2 中推出的下列技术如何支持云服务提供商(如 Fabrikam)为大型企业和中小型企业提供大规模灾难恢复服务:
- Hyper-V 网络虚拟化
- Hyper-V 副本
- 多租户 TCP/IP 堆栈
- 多租户 NAT
- 多租户 S2S VPN
- 多租户远程访问 VPN
- 多租户 BGP
希望本博客系列有助于大家概括了解 SDN 解决方案,尤其是 Hyper-V 网络虚拟化。感谢您的阅读!
另外,我还要感谢我的同事 Uma Mahesh Mudigonda 和 CJ Williams,谢谢他们提供的宝贵意见。
