Konfigurowanie kontrolera sieci SDN w sieci szkieletowej programu VMM

W tym artykule opisano sposób konfigurowania kontrolera sieci zdefiniowanej programowo (SDN) w sieci szkieletowej programu System Center — Virtual Machine Manager (VMM).

Kontroler sieci SDN jest rolą serwera o wysokiej skalowalności i dostępności, która umożliwia automatyzację konfiguracji infrastruktury sieciowej zamiast przeprowadzania ręcznej konfiguracji urządzeń sieciowych. Dowiedz się więcej.

Program VMM 2022 zapewnia obsługę podwójnego stosu dla kontrolera sieci SDN.

Aby zapoznać się z wartościowym wprowadzeniem, obejrzyj film wideo (ok. 5 minut) zawierający omówienie wdrożenia kontrolera sieci.

Uwaga

• Program VMM 2022 obsługuje podwójny stos (Ipv4 + Ipv6) dla składników SDN.
• Zobacz Wymagania systemowe , aby uzyskać pełną listę obsługiwanych systemów operacyjnych serwera.

Wymagania wstępne

• Planowanie programowalnej sieci komputerowej (SDN). Dowiedz się więcej.

• Planowanie instalacji i wdrożenia kontrolera sieci SDN. Dowiedz się więcej.

Przed rozpoczęciem

Aby skonfigurować sieć SDN w sieci szkieletowej programu VMM, potrzebne są następujące elementy:

• Szablon usługi: program VMM używa szablonu usługi do automatycznego wdrożenia kontrolera sieci. Szablony usługi dla kontrolera sieci obsługują wdrożenia z wieloma węzłami na maszynach wirtualnych 1. i 2. generacji.
• Wirtualny dysk twardy: szablon usługi wymaga przygotowanego wirtualnego dysku twardego, który jest importowany do biblioteki programu VMM. Ten wirtualny dysk twardy jest używany dla maszyn wirtualnych kontrolera sieci.
  • Wirtualny dysk twardy musi mieć zainstalowaną odpowiednią wersję systemu Windows Server z najnowszymi poprawkami.
  • Dysk może być w formacie VHD lub VHDX.
• Sieć logiczna zarządzania: modeluje łączność sieci fizycznej zarządzania dla hostów programu VMM, hostów kontrolera sieci i hostów maszyn wirtualnych dzierżawcy.
• Przełącznik logiczny: do zapewnienia łączności sieci logicznej zarządzania z maszynami wirtualnymi kontrolera sieci.
• Certyfikat SSL: do uwierzytelniania komunikacji między serwerem programu VMM a kontrolerem sieci.
• Sieć logiczna dostawcy HNV i sieci maszyn wirtualnych dzierżawców: na potrzeby weryfikacji wdrożenia kontrolera sieci.
• Inne wymagania wstępne: sprawdź inne wymagania.

Kroki wdrażania

Oto co należy zrobić, aby skonfigurować kontroler sieci SDN:

1. Konfigurowanie hostów i infrastruktury sieci fizycznej: musisz mieć dostęp do fizycznych urządzeń sieciowych w celu skonfigurowania sieci VLAN, routingu i innych. Potrzebujesz także hostów funkcji Hyper-V do hostowania infrastruktury SDN i maszyn wirtualnych dzierżawcy. Dowiedz się więcej.

2. Przygotowanie wirtualnego dysku twardego: możesz przygotować wirtualny dysk twardy dla szablonu usługi kontrolera sieci w formacie VHD lub VHDX, zgodnie z potrzebami, dla wybranej generacji szablonu usługi.

3. Pobrać szablony usług: pobierz szablony usług kontrolera sieci i zaimportuj je do biblioteki programu VMM.

4. Skonfigurować grupy zabezpieczeń usługi Active Directory: potrzebna będzie grupa zabezpieczeń usługi Active Directory na potrzeby zarządzania kontrolerem sieci oraz inna grupa zabezpieczeń dla klientów kontrolera sieci. Każda grupa musi zawierać co najmniej jedno konto użytkownika.

5. Skonfigurować udział biblioteki programu VMM: możesz mieć opcjonalny udział plików biblioteki (bibliotekę udostępnioną) na potrzeby przechowywania dzienników diagnostycznych. Kontroler sieci będzie uzyskiwał dostęp do tej biblioteki udostępnionej w celu przechowywania informacji diagnostycznych w okresie swojego istnienia.

6. Skonfiguruj grupę hostów programu VMM: skonfiguruj dedykowaną grupę hostów dla wszystkich hostów funkcji Hyper-V SDN.

   Uwaga

   Hosty muszą mieć zainstalowany odpowiedni system Windows Server z zainstalowanymi najnowszymi poprawkami i mieć włączoną rolę funkcji Hyper-V.

7. Utworzyć sieć logiczną zarządzania: utwórz sieć logiczną zarządzania w celu zdublowania połączeń sieciowych dla hosta programu VMM, hostów kontrolera sieci i hostów maszyn wirtualnych dzierżawcy. Jeśli chcesz przydzielić statyczne adresy IP z puli, utwórz pulę w tej sieci logicznej.

8. Tworzenie i wdrażanie przełącznika logicznego zarządzania: należy utworzyć przełącznik logiczny i wdrożyć go na hostach kontrolera sieci w celu zapewnienia łączności z siecią zarządzania dla maszyn wirtualnych kontrolera sieci.

9. Skonfigurować certyfikat: potrzebny jest certyfikat SSL na potrzeby bezpiecznej komunikacji HTTPS z kontrolerem sieci.

10. Zaimportować szablon: zaimportuj i dostosuj szablon usługi kontrolera sieci.

11. Wdrożyć usługę: wdróż usługę kontrolera sieci za pomocą szablonu usługi. Następnie dodaj ją jako usługę VMM.

Przygotowywanie wirtualnego dysku twardego

1. Przygotuj dysk VHD lub VHDX na podstawie typu szablonu, którego chcesz użyć.
2. Po przygotowaniu dysku twardego zainstaluj najnowsze odpowiednie aktualizacje systemu Windows Server i wszystkie potrzebne pakiety językowe, jeśli masz środowisko inne niż angielskie.
3. Zaimportuj pliki VXD/VHDX do biblioteki programu VMM. Dowiedz się więcej.

Pobieranie szablonów usług kontrolera sieci

1. Pobierz folder SDN z repozytorium Microsoft SDN GitHub i skopiuj szablony z katalogu VMM>Templates>NC do ścieżki lokalnej na serwerze programu VMM.

2. Wyodrębnij zawartość do folderu na komputerze lokalnym.

3. Odśwież bibliotekę, a następnie zaimportujesz szablony usług.

   Uwaga

   Pliki zasobów niestandardowych są używane podczas konfigurowania kontrolera sieci i innych składników sieci SDN (programowego modułu równoważenia obciążenia, bramy RAS).

   Folder NC zawiera cztery szablony usług i pięć folderów zasobów niestandardowych. Ich podsumowanie można znaleźć w poniższej tabeli:

Szablony i pliki zasobów

Nazwa	Typ	Szczegóły
Network Controller Production Generation 1 VM.xml	Template	Kontroler sieci z trzema węzłami dla maszyn wirtualnych 1. generacji
Network Controller Production Generation 2 VM.xml	Template	Kontroler sieci z trzema węzłami dla maszyn wirtualnych 2. generacji
Network Controller Standalone Generation 1 VM.xml	Template	Kontroler sieci z pojedynczym węzłem dla maszyn wirtualnych 1. generacji
Network Controller Standalone Generation 2 VM.xml	Template	Kontroler sieci z pojedynczym węzłem dla maszyn wirtualnych 2. generacji
NcSetup.cr	Plik zasobów niestandardowych	Zasób biblioteki zawierający skrypty używane do konfigurowania sieci.
ServerCertificate.cr	Plik zasobów niestandardowych	Zasób biblioteki zawierający klucz prywatny dla kontrolera sieci w formacie pfx.
NcCertificate.cr	Plik zasobów niestandardowych	Zasób biblioteki zawierający zaufany certyfikat główny (CER) kontrolera sieci. Jest to używane do bezpiecznej komunikacji między kontrolerem sieci a innymi podusługami (na przykład MUXes SLB).
TrustedRootCertificate.cr	Plik zasobów niestandardowych	Zasób biblioteki zawierający klucz publiczny urzędu certyfikacji (.cer) zaimportowany jako zaufany certyfikat główny w celu zweryfikowania certyfikatu SSL.
EdgeDeployment.cr	Template	Używany do instalowania ról MUX modułu SLB i ról bramy (na przykład sieci VPN)

Konfigurowanie grup usługi Active Directory

Utwórz grupy zabezpieczeń na potrzeby zarządzania kontrolerem sieci i klientów kontrolera sieci.

1. W narzędziu Użytkownicy i komputery usługi Active Directory utwórz grupę zabezpieczeń na potrzeby zarządzania kontrolerem sieci.

   • W grupie dodaj wszystkich użytkowników, którzy mają uprawnienia do konfigurowania kontrolera sieci. Na przykład utwórz grupę o nazwie Administratorzy kontrolera sieci.
   • Wszyscy użytkownicy dodani do tej grupy muszą być również członkami grupy Użytkownicy domeny w usłudze Active Directory.
   • Grupa do zarządzania kontrolerem sieci powinna być grupą lokalną domeny. Członkowie tej grupy będą mogli tworzyć, usuwać i aktualizować konfigurację wdrożonego kontrolera sieci.
   • Należy utworzyć co najmniej jedno konto użytkownika będące członkiem tej grupy i mieć dostęp do jego poświadczeń. Po wdrożeniu kontrolera sieci program VMM można skonfigurować tak, aby używał poświadczeń tego konta użytkownika do nawiązania komunikacji z kontrolerem sieci.

2. Utwórz kolejną grupę zabezpieczeń dla klientów kontrolera sieci.

   • Dodaj użytkowników z uprawnieniami do konfigurowania sieci i zarządzania nimi przy użyciu kontrolera sieci. Na przykład utwórz grupę o nazwie Użytkownicy kontrolera sieci.
   • Wszyscy użytkownicy dodani do nowej grupy muszą być również członkami grupy Użytkownicy domeny w usłudze Active Directory.
   • Wszystkie konfiguracje i zarządzanie kontrolerem sieci są wykonywane przy użyciu usługi Representational State Transfer (DNS).
   • Grupa powinna być grupą lokalną domeny. Po wdrożeniu kontrolera sieci wszystkie elementy członkowskie tej grupy będą miały uprawnienia do komunikowania się z kontrolerem sieci za pomocą interfejsu opartego na protokole REST.
   • Należy utworzyć co najmniej jedno konto użytkownika będące członkiem tej grupy. Po wdrożeniu kontrolera sieci program VMM można skonfigurować tak, aby używał poświadczeń tego konta użytkownika do nawiązania komunikacji z kontrolerem sieci.

Tworzenie biblioteki udostępnionej na potrzeby rejestrowania

1. Opcjonalnie utwórz udział plików w bibliotece programu VMM na potrzeby przechowywania dzienników diagnostycznych.
2. Upewnij się, że udział jest dostępny dla kontrolera sieci. Kontroler sieci uzyskuje dostęp do udziału w celu przechowywania informacji diagnostycznych. Zanotuj poświadczenia dla konta, które będzie miało dostęp do zapisu w udziale.

Konfigurowanie grup hostów

1. Utwórz dedykowaną grupę hostów dla hostów funkcji Hyper-V, które będą zarządzane przez sieć SDN.
2. Upewnij się, że hosty funkcji Hyper-V działają Windows Server 2016 z zainstalowanymi najnowszymi poprawkami.

Tworzenie sieci logicznej zarządzania

Sieć logiczną zarządzania można utworzyć w programie VMM, aby zdublować sieć zarządzania fizycznego.

• Sieć logiczna udostępnia ustawienia łączności sieciowej dla hosta programu VMM, hostów kontrolera sieci i hostów maszyn wirtualnych dzierżawcy.
• Zalecane jest utworzenie tej sieci logicznej specjalnie w celu zapewnienia łączności z maszynami wirtualnymi infrastruktury zarządzanej przez kontroler sieci.
• Jeśli masz już sieć logiczną programu VMM skonfigurowaną przy użyciu ustawienia Utwórz sieć maszyny Wirtualnej o tej samej nazwie, aby umożliwić maszynom wirtualnym bezpośredni dostęp do tej sieci logicznej, możesz ponownie użyć tej sieci logicznej w celu zapewnienia łączności sieci zarządzania z kontrolerem sieci.

Aby utworzyć sieć logiczną zarządzania, wykonaj następującą procedurę:

1. Wybierz pozycjęSiećszkieletowa>. Kliknij prawym przyciskiem myszy pozycję Sieci>logiczne Utwórz sieć logiczną.
2. Podaj nazwę i opcjonalny opis.

3. W obszarze Ustawienia wybierz pozycję Jedna podłączona sieć. Wszystkie sieci zarządzania muszą mieć routing i łączność między wszystkimi hostami w tej sieci. Wybierz opcje Utwórz sieć maszyn wirtualnych o tej samej nazwie, aby zapewnić maszynom wirtualnym bezpośredni dostęp do tej sieci logicznej, aby automatycznie utworzyć sieć maszyny wirtualnej dla sieci zarządzania.

4. Wybierz pozycjęDodajlokację> sieciową. Wybierz grupę hostów dla hostów, które będą zarządzane przez kontroler sieci. Wstaw informacje o podsieci IP sieci zarządzania. Ta sieć powinna już istnieć i być skonfigurowana w przełączniku fizycznym.
5. Przejrzyj podsumowanie informacji i wybierz pozycję Zakończ , aby ukończyć.

Tworzenie puli adresów IP

Uwaga

Pulę adresów IP można utworzyć za pomocą Kreatora tworzenia sieci logicznej .

Jeśli chcesz przypisać statyczne adresy IP do maszyn wirtualnych kontrolera sieci, utwórz pulę adresów IP w sieci logicznej zarządzania. Jeśli używasz protokołu DHCP, możesz pominąć ten krok.

1. W konsoli programu VMM kliknij prawym przyciskiem myszy sieć logiczną zarządzania i wybierz polecenie Utwórz pulę adresów IP.

2. Podaj nazwę i opcjonalny opis puli i upewnij się, że sieć zarządzania została wybrana dla sieci logicznej.

3. W panelu Lokacja sieciowa wybierz podsieć, którą ta pula adresów IP będzie obsługiwać.

4. W panelu Zakres adresów IP wpisz początkowy i końcowy adres IP dla zakresu.

5. Aby użyć adresu IP jako adresu IP REST, wpisz jeden z adresów IP z określonego zakresu w adresach IP, które mają być zarezerwowane dla innych zastosowań . Jeśli chcesz używać punktu końcowego REST, pomiń ten krok.

   • Nie używaj pierwszych trzech adresów IP z dostępnej podsieci. Na przykład jeśli Twoja dostępna podsieć obejmuje adresy od .1 do .254, zacznij swój zakres od .4.Na przykład jeśli Twoja dostępna podsieć obejmuje adresy od .1 do .254, zacznij swój zakres od .4 lub wyższego.
   • Jeśli węzły są w tej samej podsieci, musisz podać adres IP REST. Jeśli węzły znajdują się w różnych podsieciach, musisz podać nazwę DNS REST.

6. Określ domyślny adres bramy i opcjonalnie skonfiguruj ustawienia DNS i WINS.

7. Na stronie Podsumowanie przejrzyj ustawienia i wybierz pozycję Zakończ , aby ukończyć pracę kreatora.

Tworzenie i wdrażanie przełącznika logicznego zarządzania

Należy wdrożyć przełącznik logiczny zarządzania w sieci logicznej zarządzania. Przełącznik zapewnia łączność sieci logicznej zarządzania z maszynami wirtualnymi kontrolera sieci.

1. W konsoli programu VMM wybierz pozycjęSieć>szkieletowa>Utwórz przełącznik logiczny. Przejrzyj informacje Wprowadzenie i wybierz pozycję Dalej.

2. Podaj nazwę i opcjonalny opis. Wybierz pozycję Brak zespołu pasma. Jeśli potrzebujesz funkcji tworzenia zespołu, wybierz pozycję Osadzony zespół.

   Uwaga

   Nie używaj zespołu.

3. Dla trybu minimalnej przepustowości wybierz opcję Waga.

4. W obszarze Rozszerzenia wyczyść wszystkie rozszerzenia przełącznika. Jest to ważne. Wybranie jakiegokolwiek rozszerzenia przełącznika na tym etapie może później zablokować dołączanie kontrolera sieci.

5. Możesz opcjonalnie dodać profil portu wirtualnego i wybrać klasyfikację portów na potrzeby zarządzania hostem.

6. Wybierz istniejący profil portu pasma lub wybierz pozycję Dodaj>nowy profil portu pasma. Podaj nazwę i opcjonalny opis. Użyj wartości domyślnych dla algorytmu równoważenia obciążenia i trybu tworzenia zespołu. Wybierz wszystkie lokacje sieciowe w sieci logicznej zarządzania.

7. Wybierz pozycję Nowa karta sieciowa. Spowoduje to dodanie wirtualnej karty sieciowej hosta do przełącznika logicznego i profilu portu pasma, dzięki czemu podczas dodawania przełącznika logicznego do hostów wirtualna karta sieciowa zostanie dodana automatycznie.

8. Podaj nazwę dla wirtualnej karty sieciowej. Sprawdź, czy sieć maszyny wirtualnej zarządzania jest wyświetlana na liście w sekcji Łączność.

9. Wybierz pozycję Ta karta sieciowa będzie używana do zarządzania hostami>Dziedzicz ustawienia połączenia z karty hosta. Umożliwi to pobranie ustawień dla wirtualnej karty sieciowej z karty sieciowej, która już istnieje na hoście. Jeśli wcześniej utworzono klasyfikację portów i profil portu wirtualnego, można wybrać je teraz.

10. W obszarze Podsumowanie przejrzyj informacje i wybierz pozycję Zakończ , aby ukończyć pracę kreatora.

Wdrażanie przełącznika logicznego

Należy wdrożyć przełącznik logiczny zarządzania na wszystkich hostach, na których zamierzasz wdrożyć kontroler sieci. Te hosty muszą być częścią grupy hostów programu VMM utworzonej wcześniej dowiedz się więcej.

Konfigurowanie certyfikatów zabezpieczeń

Potrzebny jest certyfikat SSL, który będzie używany do bezpiecznej komunikacji HTTPS z kontrolerem sieci. Możesz użyć następujących metod:

• Certyfikat z podpisem własnym: możesz wygenerować certyfikat z podpisem własnym i wyeksportować go przy użyciu klucza prywatnego chronionego hasłem.
• Certyfikat urzędu certyfikacji: można użyć certyfikatu podpisanego przez urząd certyfikacji.

Używanie certyfikatu z podpisem własnym

Poniższy przykład tworzy nowy certyfikat z podpisem własnym i powinien zostać uruchomiony na serwerze programu VMM.

Uwaga

• Możesz użyć adresu IP jako nazwy DNS, ale nie jest to zalecane, ponieważ ogranicza kontroler sieci do jednej podsieci.
• Możesz użyć dowolnej przyjaznej nazwy dla kontrolera sieci.
• W przypadku wdrożenia z wieloma węzłami nazwa DNS powinna być nazwą REST, której chcesz używać.
• W przypadku wdrożenia z pojedynczym węzłem nazwa DNS powinna być nazwą kontrolera sieci z następującą po niej pełną nazwa domeny.

Wdrożenie	Składnia	Przykład
Wiele węzłów	New-SelfSignedCertificate -KeyUsageProperty All -Provider "Microsoft Strong Cryptographic Provider" -FriendlyName "<YourNCComputerName>" -DnsName @("<NCRESTName>")	New-SelfSignedCertificate -KeyUsageProperty All -Provider "Microsoft Strong Cryptographic Provider" -FriendlyName "MultiNodeNC" -DnsName @("NCCluster.Contoso.com")
Jeden węzeł	New-SelfSignedCertificate -KeyUsageProperty All -Provider "Microsoft Strong Cryptographic Provider" -FriendlyName "<YourNCComputerName>" -DnsName @("<NCFQDN>")	New-SelfSignedCertificate -KeyUsageProperty All -Provider "Microsoft Strong Cryptographic Provider" -FriendlyName "SingleNodeNC" -DnsName @("SingleNodeNC.Contoso.com")

Eksportowanie certyfikatu z podpisem własnym

Wyeksportuj certyfikat i jego klucz prywatny w formacie pfx.

1. Otwórz przystawkę Certyfikaty (certlm.msc) i zlokalizuj certyfikat w folderze Personal/Certificates.

2. Wybierz certyfikat >Wszystkie zadania>eksportu.

3. Wybierz pozycję Tak, wyeksportuj opcję klucza prywatnego , a następnie wybierz przycisk Dalej.

4. Wybierz opcję Wymiana informacji osobistych — PKCS #12 (.PFX) i zaakceptuj domyślną wartość Jeśli jest to możliwe, dołącz wszystkie certyfikaty do ścieżki certyfikacji.

5. Przypisz użytkowników/grupy i hasło do eksportowanego certyfikatu; wybierz pozycję Dalej.

6. Na stronie Eksport pliku wskaż lokalizację, w której chcesz umieścić wyeksportowany plik, i nadaj mu nazwę.

7. Podobnie wyeksportuj certyfikat w formacie CER.

   Uwaga

   Aby wyeksportować plik do elementu . Format CER, usuń zaznaczenie opcji Tak, wyeksportuj klucz prywatny .

8. Skopiuj plik PFX do folderu ServerCertificate.cr.

9. Skopiuj plik CER do folderu NCCertificate.cr.

Po zakończeniu odśwież te foldery i upewnij się, że te certyfikaty zostały skopiowane.

Używanie urzędu certyfikacji

1. Zażądaj certyfikatu podpisanego przez urząd certyfikacji. W przypadku urzędu certyfikacji przedsiębiorstwa opartego na systemie Windows zażądaj certyfikatów przy użyciu Kreatora żądania certyfikatów.

2. Upewnij się, że certyfikat zawiera EKU uwierzytelniania serwera określony przez identyfikator OID 1.3.6.1.5.5.7.3.1. Ponadto nazwa podmiotu certyfikatu musi być zgodna z nazwą DNS kontrolera sieci.

3. Skopiuj plik PFX do folderu ServerCertificate.cr.

4. Skopiuj plik CER do folderu NCCertificate.cr.

5. Skopuj klucz publiczny urzędu certyfikacji w formacie CER do katalogu TrustedRootCertificate.cr.

   Uwaga

   Upewnij się, że urząd certyfikacji przedsiębiorstwa jest skonfigurowany do automatycznego rejestrowania certyfikatów.

Rozszerzone użycie klucza

1. Jeśli magazyn certyfikatów Personal (My – cert:\localmachine\my) na hoście funkcji Hyper-V ma więcej niż jeden certyfikat X.509 o nazwie podmiotu (CN) jako w pełni kwalifikowana nazwa domeny hosta (FQDN), upewnij się, że certyfikat używany przez nazwę SDN ma dodatkową niestandardową właściwość Rozszerzone użycie klucza z identyfikatorem OID 1.3.6.1.4.1.311.95.1.1.1. W przeciwnym razie komunikacja między kontrolerem sieci a hostem może nie działać.

2. Upewnij się, że certyfikat wystawiony przez urząd certyfikacji dla komunikacji powiązanej z południem ma dodatkową niestandardową właściwość Rozszerzone użycie klucza z identyfikatorem OID 1.3.6.1.4.1.311.95.1.1.1.

Konfigurowanie szablonu usługi

Zaimportuj szablon i zaktualizuj parametry środowiska.

Importowanie szablonu

Zaimportuj szablon usługi do biblioteki programu VMM. W tym przykładzie zostanie zaimportowany szablon 2. generacji.

1. Wybierz pozycjęSzablon importubiblioteki>.

2. Przejdź do folderu szablonu usługi, wybierz plik Network Controller Production Generation 2 VM.xml.

3. Podczas importowania szablonu usługi należy zaktualizować parametry dla swojego środowiska. Przejrzyj szczegóły, a następnie wybierz pozycję Importuj.

   • WinServer.vhdx — wybierz podstawowy obraz wirtualnego dysku twardego, który został przygotowany wcześniej.
   • NCSetup.cr — dokonaj mapowania do zasobu biblioteki NCSetup.cr w bibliotece programu VMM.
   • ServerCertificate.cr — dokonaj mapowania do zasobu ServerCertificate.cr w bibliotece programu VMM. Ponadto umieść wewnątrz tego folderu certyfikat SSL PFX, który został przygotowany wcześniej. Upewnij się, że w folderze ServerCertificate.cr masz tylko jeden certyfikat.
   • TrustedRootCertificate.cr: zamapuj na folder TrustedRootCertificate.cr w bibliotece programu VMM. Nawet jeśli zaufany certyfikat główny nie jest potrzebny, ten zasób nadal musi być mapowany na folder CR, jednak folder powinien pozostać pusty.

4. Po zakończeniu upewnij się, że zadanie zostało ukończone.

Dostosowywanie szablonu

Szablon usługi można dostosować tak, aby spełniał wszelkie określone wymagania związane z organizacją, takie jak klucz produktu, przypisanie adresu IP, DHCP, fałszowanie mac i wysoka dostępność. Można również dostosować właściwości obiektów, takich jak grupy hostów, klastry hostów i wystąpienia usługi.

Jako przykład poniżej pokazano kroki wprowadzania klucza produktu oraz włączania protokołu DHCP i wysokiej dostępności:

1. W bibliotece programu VMM wybierz szablon usługi, a następnie otwórz go w trybie projektanta.

2. Kliknij dwukrotnie warstwę komputera, aby otworzyć stronę właściwości kontrolera sieci systemu Windows Server.

3. Aby określić klucz produktu, wybierz pozycjęKlucz produktukonfiguracji> systemu operacyjnego i określ klucz współużytkowany przez ccEP.

4. Aby włączyć wysoką dostępność, wybierz pozycjęDostępnośćkonfiguracji> sprzętu, zaznacz pole wyboru Ustaw maszynę wirtualną o wysokiej dostępności.

5. Aby włączyć konfigurację dynamicznego adresu IP i użyć protokołu DHCP do zarządzania kontrolerem sieci, wybierz kartę sieciową w projektancie i zmień typ adresu IPV4 na Dynamiczny.

   Uwaga

   • Jeśli dostosujesz szablon pod kątem wysokiej dostępności, upewnij się, że wdrożono go w węzłach klastrowanych.
   • Podczas konfigurowania kontrolera sieci i określania nazwy FQDN jako nazwy REST nie twórz wstępnie rekordu Host A dla podstawowego węzła kontrolera sieci w systemie DNS. Może to mieć wpływ na łączność kontrolera sieci w przypadku zmiany podstawowego węzła kontrolera sieci. Ma to zastosowanie nawet w przypadku wdrażania nc przy użyciu skryptu SDN Express lub VMM Express.

Wdrożenie kontrolera sieci

1. Wybierz szablon > usługi kontrolera sieci Konfiguruj wdrożenie. Wpisz nazwę i wybierz lokalizację docelową dla wystąpienia usługi. Miejsce docelowe musi być mapowane na dedykowaną grupę hostów zawierającą hosty, które będą zarządzane przez kontroler sieci.

2. Skonfiguruj ustawienia wdrożenia, zgodnie z opisem w poniższej tabeli.

3. Początkowy kolor czerwony wystąpień maszyny wirtualnej jest normalny. Wybierz pozycję Odśwież podgląd , aby usługa wdrażania automatycznie znalazła odpowiednie hosty dla maszyn wirtualnych do utworzenia.

4. Po skonfigurowaniu tych ustawień wybierz pozycję Wdróż usługę , aby rozpocząć zadanie wdrażania usługi.

   Uwaga

   Czas wdrażania będzie różnić się w zależności od sprzętu, ale zazwyczaj wyniesie od 30 do 60 minut. Jeśli nie używasz licencjonowanego zbiorczo dysku VHD\VHDX lub jeśli dysk VHD\VHDX nie dostarcza klucza produktu przy użyciu pliku odpowiedzi, wdrożenie zatrzymuje się na stronie Klucz produktu podczas aprowizacji maszyny wirtualnej kontrolera sieci. Musisz ręcznie uzyskać dostęp do pulpitu maszyny wirtualnej i pominąć lub wprowadzić klucz produktu.

5. Jeśli wdrożenie kontrolera sieci zakończy się niepowodzeniem, usuń wystąpienie usługi, które zakończyło się niepowodzeniem, zanim ponowisz próbę wdrożenia kontrolera sieci. Wybierz pozycję Maszyny wirtualne i usługi Wszystkie usługi>hostów> i usuń wystąpienie.

Ustawienia wdrożenia

Ustawienie	Wymaganie	Opis
ClientSecurityGroup	Wymagane	Nazwa utworzonej grupy zabezpieczeń zawierającej konta klientów kontrolera sieci.
DiagnosticLogShare	Opcjonalne	Lokalizacja udziału pliku, do której dzienniki diagnostyczne będą okresowo przekazywane. Jeśli nie zostanie to podane, dzienniki są przechowywane lokalnie w każdym węźle.
DiagnosticLogShareUsername	Opcjonalne	Pełna nazwa użytkownika (łącznie z nazwą domeny) dla konta, które ma uprawnienia dostępu do udziału pliku dzienników diagnostycznych. W formacie: [domena]\[nazwa_użytkownika].
DiagnosticLogSharePassword	Opcjonalne	Hasło dla konta określonego w parametrze DiagnosticLogShareUsername.
LocalAdmin	Wymagane	Wybierz konto Uruchom jako w Twoim środowisku, które będzie używane jako administrator lokalny na maszynach wirtualnych kontrolera sieci. Uwaga: podczas tworzenia kont Uruchom jako usuń zaznaczenie opcji zweryfikuj poświadczenia domeny , jeśli tworzysz konto lokalne. Nazwa użytkownika powinna być następująca: .\Administrator (należy ją utworzyć, jeśli nie istnieje).
Zarządzanie	Wymagane	Wybierz sieć logiczną zarządzania utworzoną wcześniej.
MgmtDomainAccount	Wymagane	Wybierz konto Uruchom jako w środowisku, które będzie używane do przygotowania kontrolera sieci. Ten użytkownik musi być członkiem grupy zabezpieczeń zarządzania określonej poniżej, mającym uprawnienia do zarządzania kontrolerem sieci.
MgmtDomainAccountName	Wymagane	Musi to być pełna nazwa (łącznie z nazwą domeny) konta Uruchom jako mapowanego do elementu MgmtDomainAccount. Nazwa użytkownika domeny zostanie dodana do grupy administratorów podczas wdrażania.
MgmtDomainAccountPassword	Wymagane	Hasło dla konta Uruchom jako zarządzania mapowanego do elementu MgmtDomainAccount.
MgmtDomainFQDN	Wymagane	W pełni kwalifikowana nazwa domeny dla domeny usługi Active Directory, do której zostaną dołączone maszyny wirtualne kontrolera sieci.
MgmtSecurityGroup	Wymagane	Nazwa utworzonej wcześniej grupy zabezpieczeń zawierającej konta zarządzania kontrolera sieci.
RestEndPoint	Wymagane	Wprowadź nazwę RESTName używaną podczas przygotowywania certyfikatów. Ten parametr nie jest używany dla szablonów autonomicznych. Jeśli węzły znajdują się w tej samej podsieci, musisz podać adres IP REST. Jeśli węzły znajdują się w różnych podsieciach, podaj nazwę DNS REST.
ServerCertificatePassword	Wymagane	Hasło potrzebne do zaimportowania certyfikatu do magazynu maszyny.

Uwaga

System Windows Server 2019 musi mieć uprawnienia do rejestrowania i modyfikowania nazwy SPN w usłudze Active Directory. Aby uzyskać więcej informacji, zobacz Kerberos with Service Principal Name (Kerberos z główną nazwą usługi).

Dodawanie usługi kontrolera sieci w programie VMM

Po pomyślnym wdrożeniu usługi kontrolera sieci następnym krokiem jest dodanie go do programu VMM jako usługi sieciowej.

1. W obszarze Sieć szkieletowa kliknij prawym przyciskiem myszy pozycję Usługa sieciowa>, a następnie wybierz pozycję Dodaj usługę sieciową.

2. Zostanie uruchomiony kreator dodawania usługi sieciowej. Podaj nazwę i opcjonalny opis.

3. Jako producenta wybierz Microsoft, a w obszarze model wybierz pozycję Kontroler sieci firmy Microsoft.

4. Na karcie Poświadczenia podaj konto Uruchom jako, którego chcesz użyć do skonfigurowania usługi sieciowej. Powinno to być to samo konto, które zostało uwzględnione w grupie klientów kontrolera sieci.

5. W obszarze Parametry połączenia:

   • We wdrożeniu z wieloma węzłami serwerURL powinien używać punktu końcowego REST, a nazwa usługi powinna być nazwą wystąpienia kontrolera sieci.
   • We wdrożeniu z pojedynczym węzłem parametr ServerURL powinien być nazwa FQDN kontrolera sieci, a parametr servicename musi być nazwą wystąpienia usługi kontrolera sieci. Przykład: serverurl=https://NCCluster.contoso.com;servicename=NC_VMM_RTM

6. Na stronie Sprawdź certyfikaty nawiązywane jest połączenie z maszyną wirtualną kontrolera sieci w celu pobrania certyfikatu. Sprawdź, czy wyświetlany certyfikat jest tym, którego oczekiwano. Upewnij się, że wybrano pozycję Te certyfikaty zostały sprawdzone i można je zaimportować do zaufanego magazynu certyfikatów.

7. Na następnym ekranie wybierz pozycję Dostawca skanowania , aby nawiązać połączenie z usługą i wyświetlić listę właściwości i ich stan. Jest to również dobry test umożliwiający sprawdzenie, czy usługa została utworzona prawidłowo i czy do połączenia się z nią jest ponownie używany właściwy ciąg parametrów połączenia. Sprawdź wyniki i upewnij się, że parametr isNetworkController = true. Po pomyślnym zakończeniu wybierz pozycję Dalej.

8. Skonfiguruj grupy hostów, którymi będzie zarządzać kontroler sieci.

9. Wybierz pozycję Zakończ , aby ukończyć pracę kreatora. Jeśli usługa została dodana do programu VMM, będzie wyświetlana na liście Usługi sieciowe w konsoli programu VMM. Jeśli usługa sieciowa nie została dodana, sprawdź obszar Zadania w konsoli programu VMM, aby rozwiązać problemy.

Weryfikowanie wdrożenia

Opcjonalnie możesz zweryfikować wdrożenie kontrolera sieci. W tym celu:

1. Utwórz sieć dostawcy HNV (sieć wewnętrzną) zarządzaną przez kontroler sieci dla łączności maszyn wirtualnych dzierżawcy. Ta sieć służy do sprawdzania, czy kontroler sieci został pomyślnie wdrożony, a maszyny wirtualne dzierżawcy w tej samej sieci wirtualnej mogą wysyłać polecenia ping do siebie. Ta sieć powinna istnieć w infrastrukturze sieci fizycznej i wszystkie hosty sieci szkieletowej SDN powinny mieć z nią połączenie fizyczne.
2. Po utworzeniu sieci dostawcy HNV skonfiguruj dwie sieci maszyn wirtualnych dzierżawcy na jej podstawie. Utwórz sieci maszyn wirtualnych i pule adresów IP, a następnie wdróż maszyny wirtualne dzierżawcy. Możesz również przetestować łączność między dwiema maszynami wirtualnymi dzierżawcy wdrożonymi na różnych hostach w celu upewnienia się, że kontroler sieci został poprawnie wdrożony.

Tworzenie sieci dostawcy HNV

1. Uruchom Kreatora tworzenia sieci logicznej. Wpisz nazwę i opcjonalny opis sieci.

2. W obszarze Ustawienia sprawdź, czy wybrano sieć połączoną , ponieważ wszystkie sieci dostawcy HNV muszą mieć routing i łączność między wszystkimi hostami w tej sieci. Upewnij się, że zaznacz pole wyboru Zezwalaj nowym sieciom maszyn wirtualnych utworzonym w tej sieci logicznej na korzystanie z wirtualizacji sieci. Ponadto sprawdź pozycję Zarządzane przez kontroler sieci.

   

3. W obszarze Lokacja sieciowa dodaj informacje o lokacji sieciowej dla sieci dostawcy HNV. Powinno to obejmować informacje o grupie hostów, podsieci i sieci VLAN dla sieci.
4. Przejrzyj informacje o podsumowaniu i ukończ kreatora.

Tworzenie puli adresów IP

Uwaga

Pulę adresów IP można utworzyć za pomocą Kreatora tworzenia sieci logicznej .

Konfiguracja sieci logicznej HNV wymaga puli adresów IP, nawet jeśli protokół DHCP jest dostępny w tej sieci. Jeśli masz więcej niż jedną podsieć w sieci konfiguracji HNV, utwórz pulę dla każdej podsieci.

1. Kliknij prawym przyciskiem myszy konfigurowanie sieci > logicznej HNV Utwórz pulę adresów IP.
2. Podaj nazwę i opcjonalny opis i upewnij się, że jako sieć logiczna została wybrana sieć logiczna dostawcy HNV.

3. W obszarze Lokacja sieciowa należy wybrać podsieć, która będzie obsługiwać tę pulę adresów IP. Jeśli masz więcej niż jedną podsieć w ramach sieci dostawcy HNV, musisz utworzyć pulę statycznych adresów IP dla każdej podsieci. Jeśli masz tylko jedną lokację (np. przykładową topologię), możesz wybrać pozycję Dalej.

Uwaga

• Aby włączyć obsługę protokołu IPv6, dodaj podsieć IPv6 i utwórz pulę adresów IPv6.
• Aby włączyć obsługę protokołu IPv4, dodaj podsieć IPv4 i utwórz pulę adresów IPv4.
• Aby użyć przestrzeni adresowej IPv6, dodaj do lokacji sieciowej zarówno podsieci IPv4, jak i IPv6.
• Aby włączyć obsługę podwójnego stosu, utwórz pule adresów IP z przestrzenią adresową IPv4 i IPv6.

4. W polu Zakres adresów IP skonfiguruj początkowy i końcowy adres IP. Nie używaj pierwszego adresu IP dostępnej podsieci. Na przykład jeśli Twoja dostępna podsieć obejmuje adresy od .1 do .254, zacznij swój zakres co najmniej od .2.

5. Następnie skonfiguruj adres bramy domyślnej. Wybierz pozycję Wstaw obok pola Bramy domyślne , wpisz adres i użyj domyślnej metryki. Opcjonalnie skonfiguruj informacje DNS i WINS.

6. Przejrzyj informacje podsumowania i wybierz pozycję Zakończ , aby ukończyć pracę kreatora.

7. W ramach dołączania kontrolera sieci przełącznik wdrożony na hostach dla łączności sieci logicznej zarządzania został przekonwertowany na przełącznik SDN. Ten przełącznik może teraz służyć do wdrażania sieci zarządzanej przez kontroler sieci, w tym sieci logicznej dostawcy HNV. Upewnij się, że wybrano lokację sieciową odpowiadającą sieci logicznej dostawcy HNV w ustawieniach profilu portu pasma przełącznika logicznego zarządzania.

   

Sieć logiczna dostawcy HNV jest teraz dostępna dla wszystkich hostów w grupie hostów zarządzanych przez kontroler sieci.

Tworzenie sieci maszyn wirtualnych i pul adresów IP dzierżawców

Teraz utwórz dwie sieci maszyn wirtualnych i pule adresów IP dla dwóch dzierżaw w infrastrukturze SDN, aby przetestować łączność.

Uwaga

• Nie używaj pierwszego adresu IP dostępnej podsieci. Na przykład jeśli Twoja dostępna podsieć obejmuje adresy od .1 do .254, zacznij swój zakres co najmniej od .2.
• Obecnie nie można utworzyć sieci maszyny wirtualnej z opcją Brak izolacji dla sieci logicznych, które są zarządzane przez kontroler sieci. Musisz wybrać opcję izolacji Izoluj przy użyciu wirtualizacji sieci funkcji Hyper podczas tworzenia sieci maszyn wirtualnych skojarzonych z sieciami logicznymi dostawcy HNV.

1. Utwórz sieć maszyny wirtualnej dla każdego dzierżawcy.

2. Utwórz pulę adresów IP dla każdej sieci maszyny wirtualnej.

Uwaga

Po utworzeniu sieci maszyn wirtualnych, aby włączyć obsługę protokołu IPv6, wybierz pozycję IPv6 z protokołu adresu IP dla menu rozwijanego sieć maszyn wirtualnych . Podczas tworzenia sieci maszyn wirtualnych, aby włączyć obsługę podwójnego stosu, wybierz pozycję IPv4 i IPv6 z protokołu adresu IP dla menu rozwijanego sieci maszyny wirtualnej (dotyczy wersji 2022 i nowszych).

Podczas tworzenia podsieci maszyn wirtualnych, aby włączyć obsługę podwójnego stosu, podaj podsieć IPv4 i podsieć IPv6 oddzieloną średnikiem (';') . (dotyczy roku 2022 i nowszych)

Tworzenie maszyn wirtualnych dzierżawcy

Teraz możesz utworzyć maszyny wirtualne dzierżawy połączone z siecią wirtualną dzierżawy.

• Upewnij się, że maszyny wirtualne dzierżawy zezwalają na protokół IPv4/IPv6 protokołu ICMP przez zaporę. Domyślnie system Windows Server blokuje je.
  • Aby zezwolić na protokół IPv4 ICMP przez zaporę, uruchom polecenie New-NetFirewallRule –DisplayName "Allow ICMPv4-In" –Protocol ICMPv4.
  • Aby zezwolić na protokół IPv6 ICMP przez zaporę, uruchom polecenie New-NetFirewallRule –DisplayName "Allow ICMPv6-In" –Protocol ICMPv6

1. Aby utworzyć maszynę wirtualną z istniejącego dysku twardego, wykonaj następujące instrukcje.
2. Po wdrożeniu co najmniej dwóch maszyn wirtualnych połączonych z siecią możesz wysłać polecenie ping do maszyny wirtualnej dzierżawcy z innej maszyny wirtualnej dzierżawcy w celu sprawdzenia, czy kontroler sieci został pomyślnie wdrożony jako usługa sieciowa i może zarządzać siecią dostawcy HNV, tak aby maszyny wirtualne dzierżawcy mogły wysyłać polecenia ping do siebie nawzajem.

Uwaga

Aby włączyć obsługę podwójnego stosu, w przypadku sieci maszyn wirtualnych utwórz dwie pule adresów IP, wybierając dwie podsieci IP z menu rozwijanego.

Utwórz nową maszynę wirtualną i wdróż sieć maszyn wirtualnych z podwójnym stosem, aby przypisać do maszyny wirtualnej adres IPv4 i IPv6.

Usuwanie kontrolera sieci z sieci szkieletowej SDN

Wykonaj te czynności, aby usunąć kontroler sieci z sieci szkieletowej SDN.

Następne kroki

Tworzenie programowego modułu równoważenia obciążenia