Configurare un gateway RAS SDN nell'infrastruttura di VMM

Questo articolo descrive come configurare un gateway RAS SDN (Software Defined Networking) nell'infrastruttura di System Center Virtual Machine Manager (VMM).

Un gateway RAS SDN è un elemento del percorso dati in SDN che consente la connessione da sito a sito tra due sistemi autonomi. In particolare, un gateway RAS consente la connettività da sito a sito tra reti tenant remote e il data center usando IPSec, Generic Routing Encapsulation (GRE) o inoltro di livello 3. Altre informazioni

Nota

VMM 2022 offre il supporto dual stack per il gateway RAS.

Prima di iniziare

Prima di iniziare, tenere presente quanto segue:

• Pianificazione: consultare le informazioni sulla pianificazione di una rete software-defined e rivedere la topologia della pianificazione in questo documento. Il diagramma mostra una configurazione di esempio a 4 nodi. La configurazione è a disponibilità elevata con tre nodi del controller di rete (VM) e Tre nodi SLB/MUX. Vengono specificati due tenant con una rete virtuale suddivisa in due subnet virtuali per simulare un livello Web e un livello database. Le macchine virtuali dei tenant così come dell'infrastruttura possono essere ridistribuite in qualsiasi host fisico.
• Controller di rete: è consigliabile distribuire il controller di rete prima di distribuire il gateway RAS.
• SLB: per garantire la corretta gestione delle dipendenze, è necessario distribuire anche il bilanciamento del carico software prima di configurare il gateway. Se un gateway e un bilanciamento del carico software sono già configurati, è possibile usare e convalidare una connessione IPsec.
• Modello di servizio: VMM usa un modello di servizio per automatizzare la distribuzione del gateway. I modelli di servizio supportano la distribuzione a più nodi in VM di prima e seconda generazione.

Passaggi di distribuzione

Per configurare un gateway RAS, eseguire queste operazioni:

1. Scaricare il modello di servizio: scaricare il modello di servizio necessario per distribuire il gateway.

2. Creare la rete logica VIP: creare una rete logica VIP GRE. Richiede un pool di indirizzi IP per gli indirizzi VIP privati e per assegnare indirizzi VIP agli endpoint GRE. La rete definisce gli indirizzi VIP assegnati alle VM del gateway in esecuzione nell'infrastruttura SDN per una connessione GRE da sito a sito.

   Nota

   Per abilitare il supporto dual stack, durante la creazione di una rete logica VIP GRE, aggiungere la subnet IPv6 al sito di rete e creare il pool di indirizzi IPv6. (applicabile per il 2022 e versioni successive)

3. Importare il modello di servizio: importare il modello di servizio gateway RAS.

4. Distribuire il gateway: distribuire un'istanza del servizio gateway e configurarne le proprietà.

5. Convalidare la distribuzione: configurare una connessione da sito a sito GRE, IPSec o L3 e convalidare la distribuzione.

Scaricare il modello di servizio

1. Scaricare la cartella SDN dal repository GitHub di Microsoft SDN e copiare i modelli da VMM>Templates>(Modelli) GW (Gateway) in un percorso locale sul server VMM.
2. Estrarre il contenuto in una cartella in un computer locale. Il contenuto verrà importato nella libreria in un secondo momento.

Il download contiene due modelli:

• Il modello EdgeServiceTemplate_Generation 1 VM.xml serve per la distribuzione del servizio gateway in macchine virtuali di prima generazione.
• Il EdgeServiceTemplate_Generation 2 VM.xml consiste nella distribuzione del servizio GW in macchine virtuali di seconda generazione.

Entrambi i modelli hanno un conteggio predefinito di tre macchine virtuali, che possono essere modificate nella finestra di progettazione modelli di servizio.

Creare una rete logica VIP GRE

1. Nella console VMM avviare la Creazione guidata rete logica. Digitare un nome, specificare facoltativamente una descrizione e selezionare Avanti.

2. In Impostazioni selezionare Rete connessa, selezionare Gestito dal controller di rete e quindi selezionare Avanti.

3. In Sito di rete specificare le impostazioni seguenti:

   Ecco i valori di esempio:

   • Nome di rete: VIP GRE
   • Subnet: 31.30.30.0
   • Maschera: 24
   • ID VLAN in trunk: N/D
   • Gateway: 31.30.30.1

4. Per usare IPv4, aggiungere la subnet IPv4 al sito di rete e creare il pool di indirizzi IPv4. Ecco i valori di esempio:

   • Nome di rete: VIP GRE
   • Subnet:
   • Maschera:
   • ID VLAN in trunk: N/D
   • Gateway:

5. Per usare IPv6, aggiungere subnet IPv4 e IPV6 al sito di rete e creare il pool di indirizzi IPv6. Ecco i valori di esempio:

   • Nome di rete: VIP GRE
   • Subnet: FD4A:293D:184F:382C::
   • Maschera: 64
   • ID VLAN in trunk: N/D
   • Gateway: FD4A:293D:184F:382C::1

6. In Riepilogo esaminare le impostazioni e completare la procedura guidata.

Creare un pool di indirizzi IP per gli indirizzi VIP GRE

Nota

È possibile creare un pool di indirizzi IP usando la procedura guidata Crea rete logica .

1. Fare clic con il pulsante destro del mouse sulla rete > logica GRE VIP Create IP Pool (Crea pool IP).
2. Digitare un Nome e una descrizione facoltativa per il pool e verificare che sia selezionata la rete VIP. Selezionare Avanti.
3. Accettare il sito di rete predefinito e selezionare Avanti.

4. Se è stata creata una subnet IPv6, creare un pool di indirizzi VIP GRE IPv6 separato.
5. Scegliere un indirizzo IP iniziale e finale per l'intervallo. Iniziare l'intervallo dal secondo indirizzo della subnet disponibile. Ad esempio, se la subnet disponibile va da .1 a .254, iniziare l'intervallo con .2. Per specificare l'intervallo VIP, non usare la forma abbreviata di indirizzo IPv6; Usare il formato 2001:db8: 0:200:0:0:0: 7 anziché 2001:db8:0:200::7.
6. Nella casella Indirizzi IP riservati per i VIP nei servizi di bilanciamento del carico digitare l'intervallo di indirizzi IP nella subnet. Deve corrispondere all'intervallo usato per gli indirizzi IP iniziale e finale.
7. Non è necessario fornire informazioni gateway, DNS o WINS perché questo pool viene usato per allocare gli indirizzi IP solo tramite il controller di rete. Selezionare Avanti per ignorare queste schermate.
8. In Riepilogo esaminare le impostazioni e completare la procedura guidata.

Importare il modello di servizio

1. Selezionare Libreria>Importa modello.
2. Passare alla cartella dei modelli di servizio. Ad esempio, selezionare il file EdgeServiceTemplate Generation 2.xml .
3. Aggiornare i parametri per l'ambiente quando si importa il modello di servizio.

Nota

Le risorse della libreria sono state importate durante la distribuzione del controller di rete.

• WinServer.vhdx: selezionare l'immagine del disco rigido virtuale preparata e importata in precedenza durante la distribuzione del controller di rete.
• EdgeDeployment.CR: Eseguire il mapping alla risorsa della libreria EdgeDeployment.cr nella libreria VMM.

4. Nella pagina Riepilogo esaminare i dettagli e selezionare Importa.

   Nota

   Il modello di servizio può essere personalizzato. Altre informazioni

Distribuire il servizio gateway

Per abilitare IPv6, mentre si esegue l'onboarding del servizio Gateway, selezionare La casella di controllo Abilita IPv6 e selezionare la subnet VIP IPv6 creata in precedenza. Selezionare anche il pool IPv6 pubblico e specificare l'indirizzo IPv6 pubblico.

In questo esempio viene usato il modello di seconda generazione.

1. Selezionare il modello di servizio EdgeServiceTemplate Generation2.xml e selezionare Configura distribuzione.

2. Digitare un nome e scegliere una destinazione per l'istanza del servizio. La destinazione deve eseguire il mapping a un gruppo host contenente gli host configurati in precedenza per la distribuzione del gateway.

3. In Impostazioni di rete eseguire il mapping della rete di gestione alla rete VM di gestione.

   Nota

   La finestra di dialogo Distribuisci servizio viene visualizzata dopo il completamento del mapping. Di norma le istanze delle macchine virtuali sono inizialmente rosse. Selezionare Aggiorna anteprima per trovare automaticamente host adatti per la macchina virtuale.

4. A sinistra della finestra Configura distribuzione configurare le impostazioni seguenti:

   • AdminAccount. Obbligatorio. Selezionare un account RunAs da usare come amministratore locale nelle macchine virtuali gateway.
   • Rete di gestione. Obbligatorio. Scegliere la rete VM di gestione creata per la gestione host.
   • Gestione account. Obbligatorio. Selezionare un account RunAs autorizzato ad aggiungere il gateway al dominio di Active Directory associato al controller di rete. Può essere lo stesso account usato per MgmtDomainAccount durante la distribuzione del Controller di rete.
   • FQDN. Obbligatorio. Nome di dominio completo per il dominio di Active Directory per il gateway.

5. Selezionare Distribuisci servizio per avviare il processo di distribuzione del servizio.

   Nota

   • I tempi di distribuzione variano in base all'hardware, ma sono in genere compresi tra 30 e 60 minuti. Se la distribuzione del gateway ha esito negativo, eliminare l'istanza del servizio non riuscita in Tutti gli host>Servizi prima di ripetere la distribuzione.

   • Se non si usa un VHDX con contratto multilicenza o se non è specificato il codice Product Key con un file di risposte, la distribuzione verrà interrotta in corrispondenza della pagina del codice Product Key durante il provisioning delle VM. È necessario accedere manualmente al desktop della macchina virtuale e immettere la chiave o ignorarla.

   • Se si vuole ridimensionare o ridimensionare un'istanza di SLB distribuita, leggere questo blog.

Limiti per il gateway

Di seguito sono indicati i limiti predefiniti per il gateway gestito dal controller di rete:

• MaxVMNetworksSupported= 50
• MaxVPNConnectionsPerVMNetwork= 10
• MaxVMSubnetsSupported= 550
• MaxVPNConnectionsSupported= 250

Nota

Per una rete virtualizzata SDNv2, viene creata una subnet di routing interna per ogni rete VM. Il limite MaxVMSubnetsSupported include le subnet interne create per le reti VM.

È possibile eseguire l'override dei limiti predefiniti impostati per il gateway gestito del controller di rete. Tuttavia, l'override del limite a un numero maggiore potrebbe influire sulle prestazioni del controller di rete.

Ignorare i limiti del gateway

Per ignorare i limiti predefiniti, aggiungere la stringa di sostituzione alla stringa di connessione del servizio controller di rete ed eseguire l'aggiornamento in VMM.

• MaxVMNetworksSupported= seguito dal numero di reti VM che possono essere usate con questo gateway.
• MaxVPNConnectionsPerVMNetwork= seguito dal numero di connessioni VPN che è possibile creare per ogni rete VM con questo gateway.
• MaxVMSubnetsSupported= seguito dal numero di subnet di rete vm che possono essere usate con questo gateway.
• MaxVPNConnectionsSupported= seguito dal numero di Connections VPN che possono essere usati con questo gateway.

Esempio:

Per ignorare il numero massimo di reti VM che possono essere usate con il gateway a 100, aggiornare la stringa di connessione come segue:

serverurl=https://NCCluster.contoso.com;servicename=NC_VMM_RTM; MaxVMNetworksSupported==100

Configurare il ruolo gestione gateway

Dopo aver distribuito il servizio gateway, è possibile configurare le proprietà e associarla al servizio controller di rete.

1. SelezionareServizio di rete di Infrastruttura> per visualizzare l'elenco dei servizi di rete installati. Fare clic con il pulsante destro del mouse sul servizio > controller di rete Proprietà.

2. Selezionare la scheda Servizi e selezionare il ruolo gestione gateway.

3. Trovare il campo Servizio associato in Informazioni sul servizio e selezionare Sfoglia. Selezionare l'istanza del servizio gateway creata in precedenza e selezionare OK.

4. Selezionare l'account RunAs che verrà usato dal controller di rete per accedere alle macchine virtuali gateway.

   Nota

   L'account RunAs deve avere privilegi di amministratore nelle macchine virtuali gateway.

5. In Subnet VIP GRE selezionare la subnet di indirizzi VIP creata in precedenza.

6. Per abilitare il supporto per IPv4, in Pool IPv4 pubblico selezionare il pool configurato durante la distribuzione del servizio di bilanciamento del carico software. In Public IPv4 address (Indirizzo IPv4 pubblico) specificare un indirizzo IP del pool precedente e assicurarsi di non selezionare i tre indirizzi IP iniziali dall'intervallo.

7. Per abilitare il supporto IPv6, daServiziproprietà> controller di rete selezionare la casella di controllo Abilita IPv6, selezionare rispettivamente la subnet IPv6 GRE VIP creata in precedenza e immettere rispettivamente il pool IPv6 pubblico e l'indirizzo IPv6 pubblico. Selezionare anche la subnet front-end IPv6 che verrà assegnata alle macchine virtuali del gateway.

   

8. In Capacità del gateway configurare le impostazioni relative alla capacità.

   La capacità del gateway (Mbps) indica la normale larghezza di banda TCP prevista per la macchina virtuale gateway. È necessario impostare questo parametro in base alla velocità della rete in uso.

   La larghezza di banda del tunnel IPsec è limitata a (3/20) della capacità del gateway. Pertanto, se la capacità del gateway è impostata su 1000 Mbps, l'equivalente capacità del tunnel IPsec sarà limitata a 150 Mbps.

   Nota

   Il limite di larghezza di banda è il valore totale della larghezza di banda in ingresso e della larghezza di banda in uscita.

   I rapporti equivalenti per i tunnel GRE e L3 sono rispettivamente 1/5 e 1/2.

9. Configurare il numero di nodi riservati per il backup in Nodi per i campi degli errori riservati.

10. Per configurare singole macchine virtuali del gateway, selezionare ogni macchina virtuale e selezionare la subnet front-end IPv4, specificare l'ASN locale e, facoltativamente, aggiungere le informazioni sul dispositivo di peering per il peer BGP.

Nota

Se si prevede di usare connessioni GRE, è necessario configurare i peer BGP del gateway.

L'istanza del servizio distribuita è ora associata al ruolo gestione gateway. Dovrebbe essere visualizzata l'istanza della VM gateway elencata al suo interno.

Nota

Se si prevede di usare connessioni GRE, è necessario configurare i peer BGP del gateway.

L'istanza del servizio distribuita è ora associata al ruolo gestione gateway. Dovrebbe essere visualizzata l'istanza della VM gateway elencata al suo interno.

Convalidare la distribuzione

Dopo aver distribuito il gateway, è possibile configurare i tipi di connessione S2S GRE, S2S IPSec o L3 e convalidarli. Per altre informazioni, vedere il contenuto seguente:

• Creare e convalidare una connessione IPSec da sito a sito
• Creare e convalidare connessioni GRE da sito a sito
• Creare e convalidare connessioni L3

Per altre informazioni sui tipi di connessione, vedere questo argomento.

Configurare il selettore di traffico da PowerShell

Ecco la procedura per configurare il selettore di traffico usando PowerShell VMM.

1. Creare il selettore di traffico con i parametri seguenti.

   Nota

   I valori usati sono solo esempi.

   $t= new-object Microsoft.VirtualManager.Remoting.TrafficSelector
   
   $t.Type=7 // IPV4=7, IPV6=8
   
   $t.ProtocolId=6 // TCP =6, reference: https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers
   
   $t.PortEnd=5090
   
   $t.PortStart=5080
   
   $t.IpAddressStart=10.100.101.10
   
   $t.IpAddressEnd=10.100.101.100
   

2. Configurare il selettore di traffico precedente usando il parametro -LocalTrafficSelectors di Add-SCVPNConnection o Set-SCVPNConnection.

Rimuovere il gateway dalla infrastruttura SDN

Seguire questa procedura per rimuovere il gateway dall'infrastruttura SDN.