Настройка сетевого контроллера SDN в структуре VMMSet up an SDN network controller in the VMM fabric

Важно!

Поддержка этой версии Virtual Machine Manager (VMM) прекращена. Рекомендуем перейти на VMM 2019.This version of Virtual Machine Manager (VMM) has reached the end of support, we recommend you to upgrade to VMM 2019.

В этой статье приводятся способы настройки сетевого контроллера SDN в структуре System Center Virtual Machine Manager (VMM).This article describes how to set up a Software Defined Networking (SDN) network controller in the System Center - Virtual Machine Manager (VMM) fabric.

Сетевой контроллер SDN — это роль масштабируемого, высокодоступного сервера, позволяющая автоматизировать настройку инфраструктуры сети и не настраивать сетевые устройства вручную.The SDN network controller is a scalable and highly available server role that enables you to automate network infrastructure configuration instead of performing manual network device configuration. Дополнительные сведения.Learn more.

В качестве ознакомительного материала рекомендуем посмотреть видеообзор развертывания сетевого контроллера. Примерная продолжительность видео — 5 минут.For a great introduction, watch a video (~ five minutes) that provides an overview of network controller deployment.

Примечание

  • Начиная с VMM 2019 UR1 тип сети Одна подключенная изменен на Подключенная сеть.From VMM 2019 UR1, One Connected network type is changed as Connected Network.
  • В VMM 2019 UR2 и более поздних версий поддерживается IPv6.VMM 2019 UR2 and later supports IPv6.

Предварительные требованияPrerequisites

• Спланируйте программно-конфигурируемую сеть (SDN).• Plan for a Software Defined Network (SDN). Дополнительные сведения.Learn more.

• Спланируйте установку и развертывание сетевого контроллера SDN.• Plan for an SDN Network Controller Installation and deployment. Подробнее.Learn more.

Перед началом работыBefore you start

Для настройки SDN в структуре VMM потребуется следующее.To set up SDN in the VMM fabric you need the following:

  • Шаблон службы. VMM использует шаблон службы для автоматизации развертывания сетевого контроллера.A service template: VMM uses a service template to automate network controller deployment. Шаблоны служб для сетевого контроллера поддерживает развертывание нескольких узлов для виртуальных машин поколения 1 и 2.Service templates for the network controller support multi-node deployment on generation 1 and generation 2 VMs.
  • Виртуальный жесткий диск. Для шаблона службы требуется подготовленный виртуальный жесткий диск, который импортируется в библиотеку VMM.A virtual hard disk: The service template needs a prepared virtual hard disk that's imported into the VMM library. Этот виртуальный жесткий диск используется для виртуальных машин сетевого контроллера.This virtual hard disk is used for network controller VMs.
    • Виртуальный жесткий диск должен работать под управлением Windows Server 2016 с установленными последними исправлениями.The virtual hard disk must be running Windows Server 2016 with latest patches installed.
    • Он может быть в формате VHD или VHDX.It can be in VHD or VHDX format.
  • Логическая сеть управления. Моделирует подключение к физической сети управления для узлов VMM, узлов сетевого контроллера и узлов виртуальных машин клиента.A management logical network: That models your physical management network’s connectivity for the VMM hosts, network controller hosts, and tenant VM hosts.
  • Логический коммутатор. Предоставляет логической сети управления возможности подключения к виртуальным машинам сетевого контроллера.A logical switch: To provide the management logical network with connectivity to the network controller VMs.
  • SSL-сертификат. Служит для проверки подлинности обмена данными между сервером VMM и сетевым контроллером.An SSL certificate: To authenticate communications between the VMM server and the network controller.
  • Логическая сеть поставщика HNV и сети виртуальных машин клиента. Служат для проверки развертывания сетевого контроллера.An HNV provider logical network and tenant VM networks: To validate the network controller deployment.
  • Другие необходимые компоненты: проверьте другие требования.Other prerequisites: Verify other requirements.

Шаги по развертываниюDeployment steps

Порядок настройки сетевого контроллера SDNHere's what you need to do to set up a SDN network controller

  1. Настройка узлов и физической сетевой инфраструктуры. Необходим доступ к устройствам физической сети для настройки виртуальных локальных сетей, маршрутизации и т. д. Кроме того, требуются узлы Hyper-V для размещения инфраструктуры SDN и виртуальных машин клиента.Configure hosts and physical network infrastructure: You need access to your physical network devices to configure VLANs, routing etc. You also need Hyper-V hosts to host the SDN infrastructure and tenant VMs. Подробнее.Learn more.

  2. Подготовка виртуального жесткого диска. Вы можете подготовить виртуальный жесткий диск для шаблона службы сетевого контроллера в формате VHD или VHDX в зависимости от выбранного поколения шаблона службы.Prepare a virtual hard disk: You can prepare a virtual hard disk for the network controller service template in VHD or VHDX format, as appropriate for the service template generation you choose.

  3. Скачивание шаблонов служб. Скачайте шаблоны служб сетевого контроллера и импортируйте их в библиотеку VMM.Download the service templates: Download the network controller service templates and import them to the VMM library.

  4. Настройка групп безопасности Active Directory. Группа безопасности Active Directory потребуется для управления сетевым контроллером; еще одна группа нужна для клиентов сетевого контроллера.Set up Active Directory security groups: You'll need an Active Directory security group for network controller management, and another security group for network controller clients. В каждой группе должна быть хотя бы одна учетная запись пользователя.Each group will need at least one user account in it.

  5. Настройка общей папки библиотеки VMM.Set up a VMM library share. Можно создать дополнительную общую папку библиотеки для хранения журналов диагностики.You can have an optional library file share for keeping diagnostic logs. Сетевой контроллер будет использовать эту общую папку библиотеки для постоянного хранения данных диагностики.This library share will be accessed by the network controller to store diagnostics information throughout its lifetime.

  6. Настройка группы узлов VMM. Настройте выделенную группу узлов для всех узлов Hyper-V сети SDN.Set up a VMM host group: Set up a dedicated host group for all of the SDN Hyper-V hosts.

    Примечание

    Узлы должны работать под управлением Windows Server 2016 с установленными последними исправлениями, и на них должна быть включена роль Hyper-V.Hosts must be running Windows Server 2016 with latest patches installed, and have the Hyper-V role enabled.

  7. Создание логической сети управления. Создайте логическую сеть управления для отражения подключений к сети управления для узла VMM, узлов сетевого контроллера и узлов виртуальных машин клиентов.Create the management logical network: Create a logical network to mirror management network connectivity for the VMM host, network controller hosts, and tenant VM hosts. Если вы хотите выделить статические IP-адреса из пула, создайте пул в этой логической сети.If you want to allocate static IP addresses from a pool, create a pool on this logical network.

  8. Создание и развертывание логического коммутатора управления. Создайте логический коммутатор и разверните его на узлах сетевого контроллера, чтобы обеспечить возможности подключения к сети управления для виртуальных машин сетевого контроллера.Create and deploy a management logical switch: You create the logical switch, and deploy it on network controller hosts, to provide connectivity to the management network for network controller VMs.

  9. Настройка сертификата. Вам потребуется SSL-сертификат для защищенных или HTTPS-соединений между с сетевым контроллером.Set up a certificate: You need an SSL certificate for secure/HTTPS communication with the network controller.

  10. Импорт шаблона. Импортируйте и настройте шаблон службы сетевого контроллера.Import the template: Import and customize the network controller service template.

  11. Развертывание службы. Выполните развертывание службы сетевого контроллера с помощью шаблона службы.Deploy the service: Deploy the network controller service using the service template. Затем добавьте его в качестве службы VMM.Then add it as a VMM service.

Подготовка виртуального жесткого дискаPrepare a virtual hard disk

  1. Подготовьте диск VHD или VHDX в зависимости от типа шаблона, который необходимо использовать.Prepare the VHD or VHDX based on the type of template you would like to use.
  2. Подготовив жесткий диск, установите последние обновления для Windows Server 2016 и необходимые языковые пакеты (если у вас не англоязычная система).After your prepare the hard disk, install the latest Windows Server 2016 updates, and any language packs you need if you have a non-English environment.
  3. Импортируйте VHD- и VHDX-файлы в библиотеку VMM.Import the VHD/VHDX files to the VMM library. Подробнее.Learn more.

Скачивание шаблона службы сетевого контроллераDownload the network controller service template

  1. Скачайте папку SDN из репозитория GitHub сети Microsoft SDN и скопируйте шаблоны из вложенной папки VMM >Templates > NC по локальному пути на сервере VMM.Download the SDN folder from the Microsoft SDN GitHub repository and copy the templates from VMM >Templates > NC to a local path on the VMM server.

  2. Извлеките файлы в папку на локальном компьютере.Extract the contents to a folder on a local computer.

  3. Обновите библиотеку. Вы импортируете шаблоны служб позднее.Refresh the library, You'll import the service templates, later.

    Примечание

    Файлы настраиваемых ресурсов используются при настройке сетевого контроллера и других компонентов SDN (программная балансировка нагрузки, шлюз RAS).The custom resource files are used when setting up the network controller, and other SDN components (software load balancer, RAS gateway).

    Папка NC содержит четыре шаблона служб и пять папок настраиваемых ресурсов.The NC folder contains Four service templates and Five custom resource folders. Они представлены в таблице ниже.These are summarized in the following table:

Шаблоны и файлы ресурсовTemplates and resource files

имя;Name ТипType Подробные сведенияDetails
Network Controller Production Generation 1 VM.xmlNetwork Controller Production Generation 1 VM.xml ШаблонTemplate Сетевой контроллер из трех узлов для виртуальных машин поколения 1Three-node network controller for generation 1 VMs
Network Controller Production Generation 2 VM.xmlNetwork Controller Production Generation 2 VM.xml ШаблонTemplate Сетевой контроллер из трех узлов для виртуальных машин поколения 2Three-node network controller for generation 2 VMs
Network Controller Standalone Generation 1 VM.xmlNetwork Controller Standalone Generation 1 VM.xml ШаблонTemplate Сетевой контроллер из одного узла для виртуальных машин поколения 1Single-node network controller for generation 1 VMs
Network Controller Standalone Generation 2 VM.xmlNetwork Controller Standalone Generation 2 VM.xml ШаблонTemplate Сетевой контроллер из одного узла для виртуальных машин поколения 2Single-node network controller for generation 2 VMs
NcSetup.crNcSetup.cr Файл настраиваемого ресурсаCustom resource file Ресурс библиотеки, содержащий сценарии, используемые для настройки сети.A library resource containing scripts used to set up the network .
ServerCertificate.crServerCertificate.cr Файл настраиваемого ресурсаCustom resource file Ресурс библиотеки, содержащий закрытый ключ для сетевого контроллера в формате PFX.Library resource containing the private key for the network controller in .pfx format.
NcCertificate.crNcCertificate.cr Файл настраиваемого ресурсаCustom resource file Ресурс библиотеки, содержащий доверенный корневой сертификат (.CER) для сетевого контроллера.Library resource containing the trusted root certificate (.CER) for the network controller. Он используется для защиты обмена данными между сетевым контроллером и другими вложенными службами (например, мультиплексорами SLB).This is used for secure communications between the network controller and other sub-services (For example, SLB MUXes).
TrustedRootCertificate.crTrustedRootCertificate.cr Файл настраиваемого ресурсаCustom resource file Ресурс библиотеки с открытым ключом Центра сертификации (CER), который импортируется в качестве доверенного корневого сертификата для проверки SSL-сертификата.Library resource containing the CA public key (.cer), imported as the trusted root certificate to validate the SSL certificate.
EdgeDeployment.crEdgeDeployment.cr ШаблонTemplate Используется для установки ролей мультиплексора SLB и ролей шлюза (например, VPN)Used for installing SLB MUX roles and gateway roles (for example, VPN)

Настройка групп Active DirectorySet up Active Directory groups

Создайте группы безопасности для управления сетевым контроллером и клиентами.Create security groups for network controller management and clients.

  1. В оснастке Пользователи и компьютеры Active Directory создайте группу безопасности Active Directory для управления сетевым контроллером.In Active Directory Users and Computers, create a security group for network controller management.

    • В эту группу добавьте всех пользователей, имеющих разрешения на настройку сетевого контроллера.In the group, add all the users who have permission to configure the network controller. Например, создайте группу "Администраторы сетевого контроллера".For example, create a group named Network Controller Admins.
    • Все пользователи, добавляемые в эту группу, также должны быть членами группы "Пользователи домена" в Active Directory.All of the users that you add to this group must also be members of the Domain Users group in Active Directory.
    • Группа для управления сетевым контроллером должна быть локальной группой домена.The group for network controller management should be a domain local group. Члены этой группы должны иметь возможность создавать, удалять и обновлять конфигурацию развернутого сетевого контроллера.Members of this group will be able to create, delete, and update the deployed network controller configuration.
    • Создайте хотя бы одну учетную запись пользователя-члена этой группы и получите доступ к ее учетным данным.Create at least one user account that is a member of this group and have access to its credentials. После развертывания сетевого контроллера VMM можно будет настроить таким образом, чтобы для установки связи с сетевым контроллером использовались учетные данные этой учетной записи пользователя.After the network controller is deployed, VMM can be configured to use the user account credentials to establish communication with the network controller.
  2. Создание второй группы безопасности для клиентов сетевого контроллераCreate another security group for network controller clients

    • Добавьте пользователей с разрешениями для настройки и управления сетями с помощью сетевого контроллера.Add users with permission to configure and manage networks using network controller. Например, создайте группу "Пользователи сетевого контроллера".For example, create a group named Network Controller Users.
    • Все пользователи, добавляемые в эту новую группу, также должны быть членами группы "Пользователи домена" в Active Directory.All of the users that you add to the new group must also be members of the Domain Users group in Active Directory.
    • Все действия по настройке сетевого контроллера и управлению им выполняются с помощью передачи репрезентативного состояния (DNS).All Network Controller configuration and management is performed using Representational State Transfer ( DNS).
    • Эта группа должна быть локальной группой домена.The group should be a Domain Local group. После развертывания сетевого контроллера все члены этой группы получат разрешения для обмена данными с сетевым контроллером через REST-интерфейс.After the network controller is deployed, any members of this group will have permissions to communicate with the network controller via the REST based interface.
    • Создайте хотя бы одну учетную запись пользователя-члена этой группы.Create at least one user account that is a member of this group. После развертывания сетевого контроллера VMM можно будет настроить таким образом, чтобы для установки связи с сетевым контроллером использовались учетные данные этой учетной записи пользователя.After the network controller is deployed, VMM can be configured to use the user account credentials to establish communication with the network controller.

Создание общей папки библиотеки для ведения журналаCreate a library share for logging

  1. При необходимости создайте в библиотеке VMM общую папку для хранения журналов диагностики.Optionally create a file share in the VMM library to keep diagnostic logs.
  2. Убедитесь, что общая папка доступна для сетевого контроллера.Ensure that the share can be accessed by the network controller. Сетевой контроллер обращается к общей папке для сохранения диагностических данных.The network controller accesses the share to store diagnostic information. Запишите учетные данные для учетной записи, которая будет иметь доступ на запись в общую папку.Note the credentials for the account that will have write access to the share.

Настройка групп узловSet up host groups

  1. Создайте выделенную группу узлов для узлов Hyper-V, управление которыми будет осуществляться с помощью SDN.Create a dedicated host group for Hyper-V hosts that will be managed by SDN.
  2. Узлы Hyper-V должны работать под управлением Windows Server 2016 с установленными последними исправлениями.Make sure Hyper-V hosts are running Windows Server 2016 with latest patches installed.

Создание логической сети управленияCreate the management logical network

Логическая сеть управления создается в VMM для отражения физической сети управления.You create a management logical network in VMM, to mirror your physical management network.

  • Логическая сеть обеспечивает параметры сетевого подключения для узлов VMM, узлов сетевого контроллера и узлов виртуальных машин клиента.The logical network provides network connectivity settings for the VMM host, network controller hosts, and tenant VM hosts.
  • Рекомендуется создать выделенную логическую сеть, чтобы она обеспечивала возможности подключения к виртуальным машинам инфраструктуры, которыми управляет сетевой контроллер.We recommend that you create this logical network specifically to provide connectivity for infrastructure VMs that are managed by the network controller.
  • Если у вас уже есть логическая сеть VMM, для которой настроен параметр Создать сеть виртуальных машин с тем же именем, чтобы разрешить виртуальным машинам прямой доступ к этой логической сети, можно использовать эту логическую сеть для предоставления подключений управления к сетевому контроллеру.If you already have a VMM logical network that's configured with Create a VM Network with the same name to allow virtual machines to access this logical network directly, then you can reuse this logical network to provide management connectivity to network controller.

Для создания логической сети управления используется описанная ниже процедура.Use the following procedure to create management logical network:

  1. Щелкните Структура > Сетевые подключения.Click Fabric > Networking. Щелкните правой кнопкой мыши элемент Логические сети > Создать логическую сеть.Right-click Logical Networks > Create Logical Network.
  2. Укажите Имя и (по желанию) Описание.Specify a Name and optional Description.
  1. В разделе Параметры выберите Одна подключенная сеть.In Settings select One Connected Network. Для всех сетей управления необходимо настроить маршрутизацию и подключение между всеми узлами в этой сети.All management networks need to have routing and connectivity between all hosts in that network. Установите флажок Создать сеть виртуальных машин с тем же именем, чтобы разрешить виртуальным машинам прямой доступ к этой логической сети, чтобы автоматически создать сеть виртуальных машин для сети управления.Select Create a VM network with the same name to allow virtual machines to access this logical network directly to automatically create a VM network for your management network.
  1. В разделе Параметры выберите Одна подключенная сеть.In Settings select One Connected Network. Для всех сетей управления необходимо настроить маршрутизацию и подключение между всеми узлами в этой сети.All management networks need to have routing and connectivity between all hosts in that network. Установите флажок Создать сеть виртуальных машин с тем же именем, чтобы разрешить виртуальным машинам прямой доступ к этой логической сети, чтобы автоматически создать сеть виртуальных машин для сети управления.Select Create a VM network with the same name to allow virtual machines to access this logical network directly to automatically create a VM network for your management network.

    Примечание

    В VMM 2019 UR1 тип сети Одна подключенная сеть изменен на Подключенная сеть.From VMM 2019 UR1,One Connected Network type is changed to Connected Network.

  1. Щелкните Сетевой сайт > Добавить.Click Network Site > Add. Выберите группу узлов для узлов, которыми будет управлять сетевой контроллер.Select the host group for the hosts that will be managed by the network controller. Вставьте сведения об IP-подсети для сети управления.Insert your management network IP subnet details. Это должна быть существующая сеть, уже настроенная в физическом коммутаторе.This network should already exist and be configured in your physical switch.
  2. Просмотрите сведения на странице Сводка и нажмите кнопку Готово.Review the Summary information and click Finish to complete.

Создание пула IP-адресовCreate an IP address pool

Примечание

В VMM 2019 UR1 можно создать пул IP-адресов с помощью мастера создания логических сетей.From VMM 2019 UR1, you can create IP address pool using Create Logical Network wizard.

Если требуется выделить статические IP-адреса виртуальным машинам сетевого контроллера, создайте пул IP-адресов в логической сети управления.If you want to allocate static IP addresses to network controller VMs, create an IP address pool in the management logical network. Этот шаг можно пропустить, если вы используете DHCP.If you're using DHCP you can skip this step.

  1. В консоли VMM щелкните правой кнопкой мыши логическую сеть управления и выберите пункт Создать пул IP-адресов.In the VMM console, right-click the management logical network and select Create IP Pool.

  2. Укажите Имя и (по желанию) описание пула и убедитесь в том, что для логической сети выбрана сеть управления.Provide a Name and optional description for the pool and ensure that the management network is selected for the logical network.

  3. В области Сетевой сайт выберите подсеть, которую будет обслуживать этот пул IP-адресов.In Network Site panel, select the subnet that this IP address pool will service.

  4. В области Диапазон IP-адресов введите начальный и конечный IP-адреса.In IP Address range panel, type the starting and ending IP addresses.

  5. Для использования IP-адреса в качестве IP-адреса REST в поле IP-адреса, резервируемые для других целей введите один из IP-адресов указанного диапазона.To use an IP as REST IP, type one of the IP addresses from the specified range in IP addresses to be reserved for other uses box. Если вы хотите использовать конечную точку REST, пропустите этот шаг.In case you want to use the REST End Point, skip this step.

    • Не используйте первые три IP-адреса в доступной подсети.Don't use the first three IP addresses of your available subnet. Например, если доступная подсеть включает адреса от .1 до .254, начните диапазон с .4.For example, if your available subnet is from .1 to .254, start your range at .4 or greater.
    • Если узлы находятся в одной подсети, необходимо предоставить IP-адрес REST.If the nodes are in the same subnet, you must provide REST IP address. Если узлы находятся в разных подсетях, необходимо предоставить DNS-имя REST.If the nodes are in different subnets, you must provide a REST DNS name.
  6. Укажите адрес шлюза по умолчанию и (при необходимости) настройте параметры DNS и WINS.Specify the default gateway address and optionally configure DNS and WINS settings

  7. На странице Сводка проверьте параметры и нажмите кнопку Готово, чтобы завершить работу мастера.In Summary page, review the settings and click Finish to complete the wizard.

Создание и развертывание логического коммутатора управленияCreate and deploy a management logical switch

Логический коммутатор необходимо развернуть в логической сети управления.You need to deploy a logical switch on the management logical network. Логический коммутатор предоставляет возможности подключения между логической сетью управления и виртуальными машинами сетевого контроллера.The switch provides connectivity between the management logical network and the network controller VMs.

  1. В консоли VMM щелкните Структура > Сетевые подключения > Создание логического коммутатора.In the VMM console, click Fabric > Networking > Create Logical Switch. Ознакомьтесь с разделом "Начало работы" и нажмите кнопку Далее.Review the Getting Started information and click Next.

  2. Укажите Имя и (по желанию) описание.Provide a Name and optional description. Выберите Не группа исходящей связи.Select No Uplink Team. Если требуется объединение, выберите Внедренная команда.If you need teaming, select Embedded Team.

    Примечание

    Не используйте вариант Команда.Do not use Team.

  3. Для режима минимальной пропускной способности выберите параметр Вес.For minimum bandwidth mode, choose the Weight option.

  4. В разделе Расширения снимите все флажки расширений коммутатора.In Extensions, clear all the switch extensions. Это важно.This is important. Если выбрать какие-либо расширения коммутатора на данном этапе, это может помешать подключению сетевого контроллера в дальнейшем.If you select any of the switch extensions at this stage, it could block the network controller onboarding later.

  5. При необходимости вы можете добавить профиль виртуальных портов и выбрать классификацию портов для управления узлами.You can optionally add a virtual port profile and choose a port classification for host management.

  6. Выберите существующий профиль порта исходящей связи или нажмите кнопку Добавить > Новый профиль порта исходящей связи.Select an existing uplink port profile, or click Add > New Uplink Port Profile. Укажите Имя и (по желанию) описание.Provide a Name and optional description. Для алгоритма балансировки нагрузки и режима объединения оставьте параметры по умолчанию.Use the defaults for load balancing algorithm and teaming mode. Выберите все сайты сети для логической сети управления.Select all the network sites in the management logical network.

  7. Щелкните Создать сетевой адаптер.Click New Network Adapter. В логический коммутатор и профиль порта исходящей связи будет добавлен виртуальный сетевой адаптер узла, так что при добавлении этого логического коммутатора в узлы виртуальный сетевой адаптер будет добавлен автоматически.This adds a host virtual network adapter (vNIC) to your logical switch and uplink port profile, so that when you add the logical switch to your hosts, the vNICs get added automatically.

  8. Введите Имя для виртуального сетевого адаптера.Provide a Name for the vNIC. Убедитесь, что сеть виртуальных машин управления указана в разделе Подключение.Verify that the management VM network is listed in Connectivity.

  9. Установите флажок Этот сетевой адаптер будет использоваться для управления узлами > Наследовать параметры подключения из адаптера узлов.Select This network adapter will be used for host management > Inherit connection settings from the host adapter. Это позволит использовать параметры виртуального сетевого адаптера из адаптера, который уже существует на узле.This allows you to take the vNIC adapter settings from the adapter that already exists on the host. На этом этапе можно выбрать классификацию портов и профиль виртуальных портов, созданные ранее.If you created a port classification and virtual port profile earlier, you can select it now.

  10. Просмотрите сведения на странице Сводка и нажмите кнопку Готово, чтобы завершить работу мастера.In Summary review the information and click Finish to complete the wizard.

Развертывание логического коммутатораDeploy the logical switch

Необходимо развернуть логический коммутатор управления на всех узлах, где планируется развертывание сетевого коммутатора.You must deploy the management logical switch on all of the hosts where you intend to deploy the NC. Эти узлы должны входить в группу узлов VMM, созданную ранее. Дополнительные сведения.These hosts must be a part of VMM host group that you created earlier Learn more.

Настройка сертификатов безопасностиSet up the security certificates

Вам потребуется SSL-сертификат, который будет использоваться для защищенного или HTTPS-соединения с сетевым контроллером.You need an SSL certificate that will be used for secure/HTTPS communication with the network controller. Можно использовать следующие методы:You can use the following methods:

  • Самозаверяющий сертификат. Вы можете создать самозаверяющий сертификат и экспортировать его с закрытым ключом, защищенным паролем.Self-signed certificate: You can generate a self-signed certificate, and export it with the private key protected with a password.
  • Сертификат центра сертификации (ЦС). Можно использовать сертификат, подписанный центром сертификации.Certificate Authority (CA) certificate: You can use a certificate signed by a CA.

Использование самозаверяющего сертификатаUse a self-signed certificate

В следующем примере создается самозаверяющий сертификат. Выполнять его необходимо на сервере VMM.The following example creates a new self-signed certificate, and should be run on the VMM server.

Примечание

  • Вы можете использовать IP-адрес в качестве DNS-имени, но делать это не рекомендуется, так как это ограничивает область действия сетевого контроллера одной подсетью.You can use an IP address as the DNS name, but this is not recommended as it restricts the network controller to a single subnet.
  • Для сетевого контроллера можно задать любое понятное имя.You can use any friendly name for the network controller.
  • Для развертывания с несколькими узлами в качестве DNS-имени необходимо указать имя REST, которое вы хотите использовать.For multi-node deployment, The DNS name should be the REST name you want to use.
  • Для развертывания с одним узлом в качестве DNS-имени необходимо указать имя сетевого контроллера, за которым следует полное доменное имя.For single-node deployment, the DNS name should be the network controller name followed by the full domain name.
РазвертываниеDeployment СинтаксисSyntax ПримерExample
Несколько узловMulti-node New-SelfSignedCertificate -KeyUsageProperty All -Provider "Microsoft Strong Cryptographic Provider" -FriendlyName "<YourNCComputerName>" -DnsName @("<NCRESTName>") New-SelfSignedCertificate -KeyUsageProperty All -Provider "Microsoft Strong Cryptographic Provider" -FriendlyName "MultiNodeNC" -DnsName @("NCCluster.Contoso.com")
Один узелSingle-node New-SelfSignedCertificate -KeyUsageProperty All -Provider "Microsoft Strong Cryptographic Provider" -FriendlyName "<YourNCComputerName>" -DnsName @("<NCFQDN>") New-SelfSignedCertificate -KeyUsageProperty All -Provider "Microsoft Strong Cryptographic Provider" -FriendlyName "SingleNodeNC" -DnsName @("SingleNodeNC.Contoso.com")

Экспорт самозаверяющего сертификатаExport the self-signed certificate

Экспортируйте сертификат и его закрытый ключ в формате PFX.Export the certificate and its private key in .pfx format.

  1. Откройте оснастку Сертификаты (certlm.msc) и найдите сертификат в разделе Personal/Certificates.Open the Certificates snap-in (certlm.msc) and locate the certificate in Personal/Certificates.

  2. Выберите сертификат > Все задачи > Экспорт.Select the certificate > All Tasks > Export.

  3. Выберите вариант Да, экспортировать закрытый ключ и нажмите кнопку Далее.Select Yes, export the private key option, click Next.

  4. Выберите Файл обмена личной информацией — PKCS #12 (.PFX) и оставьте установленный по умолчанию флажок Включить по возможности все сертификаты в путь сертификации.Choose Personal Information Exchange - PKCS #12 (.PFX) and accept the default to Include all certificates in the certification path if possible.

  5. Назначьте Пользователей и группы, а также пароль для экспортируемого сертификата, после чего нажмите кнопку Далее.Assign the Users/Groups and a password for the certificate you are exporting, click Next.

  6. На странице Имя экспортируемого файла перейдите к расположению, куда следует поместить экспортируемый файл, и присвойте ему имя.On the File to export page, browse the location where you want to place the exported file, and give it a name.

  7. Аналогичным образом экспортируйте сертификат в формате CER.Similarly, export the certificate in .CER format

    Примечание

    Для экспорта в формате CER снимите флажок Да, экспортировать закрытый ключ.To export to .CER format, uncheck the Yes, export the private key option.

  8. Скопируйте PFX-файл в папку ServerCertificate.cr.Copy the .PFX to the ServerCertificate.cr folder.

  9. Скопируйте CER-файл в папку NCCertificate.cr.Copy the .CER file to the NCCertificate.cr folder.

По завершении обновите эти папки и убедитесь в том, что сертификаты скопированы.When you are done, refresh these folders and ensure that you have these certificates, copied.

Использование центра сертификацииUse a CA

  1. Запросите сертификат, подписанный центром сертификации.Request a CA-signed certificate. Для ЦС предприятия под управлением Windows запросите сертификаты с помощью мастера запроса сертификата.For a Windows-based enterprise CA, request certificates using the certificate request Wizard.

  2. Убедитесь, что сертификат включает расширенное использование ключа проверки подлинности сервера, определяемое идентификатором объекта 1.3.6.1.5.5.7.3.1.Make sure that the certificate includes the serverAuth EKU, specified by the OID 1.3.6.1.5.5.7.3.1. Кроме того, имя субъекта сертификата должно соответствовать DNS-имени сетевого контроллера.In addition, the certificate subject name must match the DNS name of the network controller.

  3. Скопируйте PFX-файл в папку ServerCertificate.cr.Copy the .PFX to the ServerCertificate.cr folder.

  4. Скопируйте CER-файл в папку NCCertificate.cr.Copy the .CER file to the NCCertificate.cr folder.

  5. Скопируйте открытый ключ ЦС в формате CER в папку TrustedRootCertificate.cr.Copy the public key of the CA in .CER format to TrustedRootCertificate.cr.

    Примечание

    Убедитесь в том, что в ЦС предприятия настроена автоматическая регистрация сертификатов.Ensure that the enterprise CA is configured for certificate auto enrollment.

Расширенное использование ключаEnhanced key usage

  1. Если личное хранилище сертификатов (My – cert:\localmachine\my) на узле Hyper-V имеет несколько сертификатов X.509 с именем субъекта (CN) в качестве полного доменного имени узла (FQDN), убедитесь, что сертификат используемый SDN, имеет дополнительное пользовательское свойство "Расширенное использования ключа" с идентификатором OID 1.3.6.1.4.1.311.95.1.1.1.If the Personal (My – cert:\localmachine\my) certificate store on the Hyper-V host has more than one X.509 certificate with Subject Name (CN) as the host Fully Qualified Domain Name (FQDN), ensure that the certificate that is used by SDN has an additional custom Enhanced Key Usage property with the OID 1.3.6.1.4.1.311.95.1.1.1. В противном случае обмен данными между сетевым контроллером и узлом может не работать.Otherwise, the communication between Network Controller and the host might not work.

  2. Убедитесь, что сертификат, выданный ЦС для взаимодействия с южной границей, имеет дополнительное пользовательское свойство "Расширенное использование ключа" с идентификатором OID 1.3.6.1.4.1.311.95.1.1.1.Ensure that certificate issued by CA for south bound communication has an additional custom Enhanced Key Usage property with the OID 1.3.6.1.4.1.311.95.1.1.1.

Настройка шаблона службыSet up the service template

Импортируйте шаблон службы и измените параметры для конкретной среды.Import the template, and update the parameters for your environment.

Импорт шаблонаImport the template

Импортируйте шаблон службы в библиотеку VMM.Import the service template into the VMM library. В этом примере мы импортируем шаблон поколения 2.For this example we'll import the generation 2 template.

  1. Щелкните Библиотека > Импорт шаблона.Click Library > Import Template.

  2. Перейдите к папке шаблонов служб и выберите файл Network Controller Production Generation 2 VM.xml.Browse to your service template folder, select the Network Controller Production Generation 2 VM.xml file.

  3. При импорте шаблона службы обновите параметры своей среды.Update the parameters for your environment as you import the service template. Просмотрите сведения и нажмите кнопку Импорт.Review the details and then click Import.

    • WinServer.vhdx. Выберите образ базового виртуального жесткого диска, который вы подготовили ранее.WinServer.vhdx Select the base virtual hard drive image that you prepared earlier.
    • NCSetup.cr — сопоставьте с ресурсом библиотеки NCSetup.cr в библиотеке VMM.NCSetup.cr: Map to the NCSetup.cr library resource in the VMM library.
    • ServerCertificate.cr — сопоставьте с ресурсом ServerCertificate.cr в библиотеке VMM.ServerCertificate.cr: Map to the ServerCertificate.cr resource in the VMM library. Кроме того, добавьте в эту папку SSL-сертификат в формате PFX, подготовленный ранее.In addition, put the .pfx SSL certificate that you prepared earlier inside this folder. Убедитесь, что в папке ServerCertificate.cr содержится только один сертификат.Make sure you only have one certificate in the ServerCertificate.cr folder.
    • TrustedRootCertificate.cr — сопоставьте с папкой TrustedRootCertificate.cr в библиотеке VMM.TrustedRootCertificate.cr: Map to the TrustedRootCertificate.cr folder in your VMM library. Если доверенный корневой сертификат не требуется, этот ресурс, тем не менее, необходимо сопоставить с папкой CR.If you don't need a trusted root certificate, this resource still needs to be mapped to a CR folder. Однако папку необходимо оставить пустой.However, the folder should be left empty.
  4. После этого убедитесь в том, что задание завершено.Once done, ensure the Job is complete.

Настройка шаблонаCustomize the template

Можно настроить шаблон службы для удовлетворения конкретных требований, относящихся к вашей организации, например указав ключ продукта, назначения IP-адресов, параметры DHCP, спуфинга MAC-адресов и высокого уровня доступности.You can customize the service template to meet any specific requirements related to your organization, such as product key, IP assignment, DHCP, MAC Spoofing and High availability. Также можно настроить свойства для объектов, таких как группы узлов, кластеры узлов и экземпляры служб.You can also customize properties for objects such as host groups, host clusters, service instances.

В качестве примера ниже приведены действия для того, чтобы ввести ключ продукта, включить DHCP и высокий уровень доступности.As an example, here are the steps to enter the product key, enable DHCP and high availability:

  1. В библиотеке VMM выберите шаблон службы и откройте его в режиме конструктора.In the VMM library, select the service template, and open it in designer mode.

  2. Дважды щелкните уровень компьютера, чтобы открыть страницу свойств сетевого контроллера Windows Server.Double-click the computer tier to open the Windows Server Network Controller Properties page.

  3. Чтобы указать ключ продукта, щелкните пункт Конфигурация ОС > Ключ продукта и укажите ключ, предоставленный CCEP.To specify a product key, click OS Configuration > Product Key, and specify the key shared by CCEP.

  4. Чтобы включить высокую доступность, щелкните пункты Конфигурация оборудования > Доступность, а затем установите флажок Сделать эту виртуальную машину машиной высокой надежности.To enable high availability, click Hardware configuration > Availability, select the Make the Virtual machine highly available check box.

  5. Чтобы включить конфигурацию динамических IP-адресов и использовать DHCP для управления сетевым контроллером, щелкните адаптер в конструкторе и измените тип IPV4-адреса на Динамический.To enable dynamic IP configuration and leverage DHCP for network controller management, click network adapter on the designer, and change the IPV4 address type to Dynamic.

    Примечание

    • Если вы настраиваете высокую доступность для шаблона, его необходимо развернуть в кластерных узлах.If you customize the template for high availability, ensure you deploy this on clustered nodes.
    • При настройке сетевого контроллера и определении полного доменного имени как имени REST не создавайте предварительно запись узла A для основного узла сетевого контроллера в DNS.While configuring your Network Controller and specifying FQDN as the REST name, don’t pre-create Host A record for your primary NC node in your DNS. Это может повлиять на возможность подключения сетевого контроллера из-за изменения его первичного узла.This may impact Network Controller connectivity once primary NC node changes. Это справедливо, даже если развертывание сетевого контроллера выполняется с использованием скрипта SDN Express или VMM Express.This is applicable even if you are deploying the NC by using the SDN Express or VMM Express script.

Развертывание сетевого контроллераDeploy the network controller

  1. Выберите шаблон службы сетевого контроллера и щелкните Настроить развертывание.Select the network controller service template > Configure Deployment. Введите имя службы и выберите место назначения для экземпляра службы.Type a service name, and select a destination for the service instance. Назначение должно соответствовать выделенной группе узлов, содержащей узлы, которыми будет управлять сетевой контроллер.The destination must map to the dedicated host group containing hosts that will be managed by network controller.

  2. Настройте параметры развертывания, как описано в таблице ниже.Configure the deployment settings as described in the table below.

  3. Изначально экземпляры виртуальных машин могут быть выделены красным.It's normal for the virtual machine instances to be initially red. Щелкните Обновить окно просмотра, чтобы служба развертывания автоматически находила подходящие узлы для создаваемых виртуальных машин.Click Refresh Preview to have the deployment service automatically find suitable hosts for the virtual machines to be created.

  4. Настроив эти параметры, нажмите кнопку Развернуть службу, чтобы запустить задание развертывания.After you configure these settings, click Deploy Service to begin the service deployment job.

    Примечание

    Время развертывания будет зависеть от оборудования, но обычно составляет от 30 до 60 минут.Deployment times will vary depending on your hardware but are typically between 30 and 60 minutes. Учтите, что если вы не используете лицензированный VHD/VHDX или VHD/VHDX не поддерживается ключом продукта с файлом ответа, процесс развертывания останавливается на странице Ключ продукта во время подготовки виртуальных машин сетевого контроллера.Note that if you're not using a volume licensed VHD\VHDX, or if the VHD\VHDX doesn't supply the product key using an answer file, then the deployment stops at the Product Key page, during network controller VM provisioning. Вам потребуется вручную получить доступ к рабочему столу виртуальной машины и пропустить этот шаг или ввести ключ продукта.You need to manually access the VM desktop, and either skip or enter the product key.

  5. Если развертывание сетевого контроллера завершится ошибкой, удалите нерабочий экземпляр службы, а затем повторите развертывание сетевого контроллера.If the network controller deployment fails, delete the failed service instance, before you retry the network controller deployment. Щелкните Виртуальные машины (VM) и службы > Все узлы > Службы и удалите экземпляр.Click VMs and Services > All Hosts > Services, and delete the instance.

Параметры развертыванияDeployment settings

ПараметрSetting ТребованиеRequirement ОписаниеDescription
ClientSecurityGroupClientSecurityGroup ОбязательноRequired Имя созданной группы безопасности, содержащей клиентские учетные записи сетевого контроллера.Name of the security group that you created, containing network controller client accounts.
DiagnosticLogShareDiagnosticLogShare НеобязательноOptional Расположение общей папки, куда будут периодически загружаться журналы диагностики.File share location where the diagnostic logs will be periodically uploaded. Если этот параметр не указан, журналы хранятся локально на каждом узле.If this is not provided, the logs are stored locally on each node.
DiagnosticLogShareUsernameDiagnosticLogShareUsername НеобязательноOptional Полное имя пользователя (включая доменное имя) для учетной записи, имеющей разрешения на доступ к общей папке для журналов диагностики.Full user name (including domain name) for an account that has access permissions to the diagnostic log share. Формат: [домен]\[имя_пользователя].In the format: [domain]\[username].
DiagnosticLogSharePasswordDiagnosticLogSharePassword НеобязательноOptional Пароль для учетной записи, указанной в параметре DiagnosticLogShareUsername.The password for the account specified in the DiagnosticLogShareUsername parameter.
LocalAdminLocalAdmin ОбязательноRequired Выберите в своей среде учетную запись запуска от имени, которая будет использоваться локальным администратором на виртуальных машинах сетевого контроллера.Select a Run as account in your environment, which will be used as the local administrator on the network controller virtual machines.

Примечание. При создании учетных записей запуска от имени снимите флажок Проверить учетные данные домена, если вы создаете локальную учетную запись.Note: while creating Run as accounts, uncheck the validate domain credentials option if you are creating a local account.

Имя пользователя должно иметь вид .\Administrator (создайте его, если оно не существует).User name should be .\Administrator (create it if it doesn't exist).
УправлениеManagement ОбязательноеRequired Выберите логическую сеть управления, созданную ранее.Select the management logical network you created earlier.
MgmtDomainAccountMgmtDomainAccount ОбязательноRequired Выберите в своей среде учетную запись запуска от имени, которая будет использоваться для подготовки сетевого контроллера.Select a Run as account in your environment which will be used to prepare the network controller. Этот пользователь должен быть членом указанной ниже группы безопасности управления, имеющим разрешения на управление сетевым контроллером.This user must be a member of the management security group, specified below, which has privileges to manage the network controller.
MgmtDomainAccountNameMgmtDomainAccountName ОбязательноеRequired Полное имя пользователя (включая доменное имя) учетной записи запуска от имени, сопоставленной с учетной записью MgmtDomainAccount.This must be the full user name (including domain name) of the Run as account mapped to MgmtDomainAccount.

Во время развертывания доменное имя пользователя будет добавлено в группу "Администраторы".The domain user name will be added to the Administrators group during deployment.
MgmtDomainAccountPasswordMgmtDomainAccountPassword ОбязательноRequired Пароль для учетной записи запуска от имени, сопоставленной с учетной записью MgmtDomainAccount.Password for the management Run as account mapped to MgmtDomainAccount.
MgmtDomainFQDNMgmtDomainFQDN ОбязательноRequired Полное доменное имя для домена Active Directory, к которому будут присоединяться виртуальные машины сетевого контроллера.FQDN for the Active directory domain that the network controller virtual machines will join.
MgmtSecurityGroupMgmtSecurityGroup ОбязательноRequired Имя ранее созданной группы безопасности, содержащей учетные записи для управления сетевым контроллером.Name of the security group you created previously containing network controller management accounts.
RestEndPointRestEndPoint ОбязательноRequired Введите имя RESTName, которое использовалось при подготовке сертификатов.Enter the RESTName you used when preparing the certificates. Этот параметр не используется для автономных шаблонов.This parameter isn't used for standalone templates.

Если узлы находятся в одной подсети, необходимо предоставить IP-адрес REST.If the nodes are in the same subnet, you must provide the REST IP address. Если узлы находятся в разных подсетях, предоставьте DNS-имя REST.If the nodes are in different subnets, provide the REST DNS name.
ServerCertificatePasswordServerCertificatePassword ОбязательноRequired Пароль, необходимый для импорта сертификата в хранилище компьютера.Password to import the certificate into the machine store.

Примечание

Начиная с Windows 2019, виртуальным машинам сетевого контроллера необходимо предоставить разрешение на регистрацию и изменение имени субъекта-службы в Active Directory.Windows 2019 onwards, the Network Controller machines must be provided permission to register and modify the SPN in the Active Directory. Дополнительные сведения см. в статье Kerberos with Service Principal Name (Kerberos с именем субъекта-службы).For more details, see Kerberos with Service Principal Name.

Добавление службы сетевого контроллера в VMMAdd the network controller service to VMM

Следующим шагом после успешного развертывания службы сетевого контроллера является добавление VMM как сетевой службы.After the network controller service is successfully deployed, the next step is to add it to VMM as a network service.

  1. В разделе Структура щелкните правой кнопкой мыши Сетевые подключения > Сетевая служба и нажмите кнопку Добавить сетевую службу.In Fabric, right-click Networking > Network Service, and click Add Network Service.

  2. Откроется мастер Добавление сетевой службы.The Add Network Service Wizard starts. Укажите имя и (по желанию) описание.Specify a name and optional description.

  3. В качестве производителя выберите Майкрософт, в качестве модели — Сетевой контроллер Майкрософт.Select Microsoft for the manufacturer and for model select Microsoft network controller.

  4. На вкладке Учетные данные укажите учетную запись запуска от имени, которая будет использоваться для настройки сетевой службы.In Credentials, provide the Run As account you want to use to configure the network service. Это должна быть та же учетная запись, которая входит в группу клиентов сетевого контроллера.This should be the same account that you included in the network controller clients group.

  5. В поле Строка подключения:For the Connection String:

    • в развертывании с несколькими узлами параметр ServerURL должен использовать конечную точку REST, а значение servicename должно быть именем экземпляра сетевого контроллера;In multi-node deployment, ServerURL should use the REST endpoint, and servicename should be the name of the network controller instance.
    • в развертывании с одним узлом значение ServerURL должно быть полным доменным именем сетевого контроллера, а значение servicename — именем экземпляра службы сетевого контроллера.In single node deployment, ServerURL should be the network controller FQDN and, servicename must be the network controller service instance name. Например, serverurl=https://NCCluster.contoso.com;servicename=NC_VMM_RTM.Example: serverurl=https://NCCluster.contoso.com;servicename=NC_VMM_RTM
  6. На странице Проверка сертификатов устанавливается подключение к виртуальной машине сетевого контроллера для получения сертификата.In Review Certificates, a connection is made to the network controller virtual machine to retrieve the certificate. Убедитесь, что отображается нужный сертификат.Verify that the certificate shown is the one you expect. Флажок Эти сертификаты проверены, их можно импортировать в хранилище доверенных сертификатов должен быть установлен.Ensure you select These certificates have been reviewed and can be imported to the trusted certificate storebox.

  7. На следующем экране щелкните Проверить поставщик, чтобы подключиться к службе, и задайте нужные свойства и их состояние.On the next screen, click Scan Provider to connect to your service and list the properties and their status. Это также позволяет проверить, правильно ли создана служба и правильная ли строка используется для подключения.This is also a good test of whether or not the service was created correctly, and that you’re using the right connect string to connect to it. Просмотрите результаты и убедитесь, что isNetworkController = true.Examine the results, and check that isNetworkController = true. После успешного завершения проверки нажмите кнопку Далее.When it completes successfully click Next.

  8. Настройте группу узлов, которой будет управлять сетевой контроллер.Configure the host group that your network controller will manage.

  9. Чтобы завершить работу мастера, нажмите кнопку Готово.Click Finish to complete the wizard. При добавлении службы в VMM она будет отображаться в списке Сетевые службы в консоли VMM.When the service has been added to VMM, it will appear in the Network Services list in the VMM console. Если сетевая служба не добавлена, проверьте раздел Задания в консоли VMM для устранения неполадок.If the network service isn't added, check Jobs in the VMM console to troubleshoot.

Проверка развертыванияValidate the deployment

При необходимости можно проверить развертывание сетевого контроллера.You can optionally validate the network controller deployment. Выполните указанные ниже действия.To do this:

  1. Создайте сеть поставщика HNV (внутреннюю сеть), управляемую сетевым контроллером для подключения виртуальных машин клиента.Create HNV provider network (the backend network), managed by the network controller for tenant VM connectivity. Эта сеть позволяет проверить, успешно ли развернут сетевой контроллер, и происходит ли обмен данными между виртуальными машинами клиентов, которые находятся в одной виртуальной сети.This network is used to validate that the network controller has been deployed successfully, and that tenant VMs within the same virtual network can ping each other. Эта сеть должна существовать в инфраструктуре физической сети, и все узлы структуры SDN должны быть к ней физически подключены.This network should exist in your physical network infrastructure, and all SDN fabric hosts should have physical connectivity to it.
  2. После создания сети поставщика HNV необходимо настроить две сети виртуальных машин клиентов поверх нее.After creating the HNV provide network, you configure two tenant VM networks on top of it. Создайте сети виртуальных машин и пулы IP-адресов, а затем разверните виртуальные машины клиентов.Create VM networks and IP address pools, and then deploy the tenant VMs. Кроме того, можно проверить подключение между двумя виртуальными машинами клиентов, развернутыми на разных узлах, чтобы убедиться в правильном развертывании сетевого контроллера.You can also test connectivity between two tenant VMs deployed on different hosts to ensure the network controller is deployed correctly.

Создание сети поставщика HNVCreate the HNV provider network

  1. Запустите мастер Создание логической сети.Start the Create Logical Network Wizard. Введите имя и (по желанию) описание для этой сети.Type a name and optional description for this network.
  1. На странице Параметры установите флажок Одна подключенная сеть, поскольку между всеми узлами сети поставщика HNV необходимо обеспечить маршрутизацию и обмен данными.In Settings, verify that One Connected Network is selected, since all HNV Provider networks need to have routing and connectivity between all hosts in that network. Установите флажок Разрешить новым сетям ВМ, созданным в этой логической сети, использовать виртуализацию сети.Ensure you check Allow new VM networks created on this logical network to use network virtualization. Кроме того, установите флажок Под управлением сетевого контроллера.In addition, check Managed by the network controller.
  1. На странице Параметры установите флажок Одна подключенная сеть, поскольку между всеми узлами сети поставщика HNV необходимо обеспечить маршрутизацию и обмен данными.In Settings, verify that One Connected Network is selected, since all HNV Provider networks need to have routing and connectivity between all hosts in that network. Установите флажок Разрешить новым сетям ВМ, созданным в этой логической сети, использовать виртуализацию сети.Ensure you check Allow new VM networks created on this logical network to use network virtualization. Кроме того, установите флажок Под управлением сетевого контроллера.In addition, check Managed by the network controller.

    Сеть HNV

    Примечание

    В VMM 2019 UR1 тип сети Одна подключенная сеть изменен на Подключенная сеть.From VMM 2019 UR1,One Connected Network type is changed to Connected Network.

  1. В разделе Сетевой сайт добавьте данные сетевого сайта для сети поставщика HNV.In Network Site, add the network site information for your hnv provider network. Здесь необходимо указать сведения о группе узлов, подсети и виртуальной локальной сети для этой сети.This should include the host group, subnet, and VLAN information for the network.
  2. Просмотрите сведения на странице Сводка и завершите работу мастера.Review the Summary information and complete the wizard.

Создание пула IP-адресовCreate the IP address pool

Примечание

В VMM 2019 UR1 можно создать пул IP-адресов с помощью мастера создания логических сетей.From VMM 2019 UR1, you can create IP address pool using Create Logical Network wizard.

Для настройки логической сети HNV требуется пул IP-адресов, даже если для этой сети доступен DHCP.The configure hnv logical network needs an IP address pool, even if DHCP is available on this network. При наличии нескольких подсетей в настроенной сети HNV создайте пул для каждой подсети.If you have more than one subnet on the configure hnv network, create a pool for each subnet.

  1. Щелкните настроенную логическую сеть HNV правой кнопкой мыши и выберите Создать пул IP-адресов.Right-click the configure hnv logical network > Create IP Pool.
  2. Укажите имя и (по желанию) описание пула и убедитесь, что в качестве логической сети выбрана логическая сеть поставщика HNV.Provide a name and optional description, and ensure that the HNV Provider logical network is selected for the logical network.
  1. В области Сетевой сайт выберите подсеть, которую будет обслуживать этот пул IP-адресов.In Network Site, you need to select the subnet that this IP address pool will service. Если сеть поставщика HNV включает несколько подсетей, необходимо создать пул статических IP-адресов для каждой из них.If you have more than one subnet as part of your HNV provider network, you need to create a static IP address pool for each subnet. Если сайт один (как в примере топологии), просто нажмите кнопку Далее.If you have only one site (for example, like the sample topology) then you can just click Next.
  1. В области Сетевой сайт выберите подсеть, которую будет обслуживать этот пул IP-адресов.In Network Site, you need to select the subnet that this IP address pool will service. Если сеть поставщика HNV включает несколько подсетей, необходимо создать пул статических IP-адресов для каждой из них.If you have more than one subnet as part of your HNV provider network, you need to create a static IP address pool for each subnet. Если сайт один (как в примере топологии), просто нажмите кнопку Далее.If you have only one site (for example, like the sample topology) then you can just click Next.

    Примечание

    Чтобы включить поддержку IPv6, добавьте подсеть IPv6 и создайте пул IPv6-адресов.To enable IPv6 support, add an IPv6 subnet and create IPv6 address pool.

  1. В области Диапазон IP-адресов введите начальный и конечный IP-адреса.In IP Address range configure the starting and ending IP address. Не используйте первый IP-адрес в доступной подсети.Don't use the first IP address of your available subnet. Например, если доступная подсеть включает адреса от .1 до .254, начните диапазон с .2.For example, if your available subnet is from .1 to .254, start your range at .2 or greater.

  2. Затем настройте адрес шлюза по умолчанию.Next, configure the default gateway address. Щелкните Вставить рядом с полем Шлюзы по умолчанию, введите адрес и оставьте значение метрики по умолчанию.Click Insert next to the Default gateways box, type the address and use the default metric. При необходимости настройте DNS и WINS.Optionally configure DNS and WINS.

  3. Просмотрите сведения на странице сводки и нажмите кнопку Готово, чтобы завершить работу мастера.Review the summary information and click Finish to complete the wizard.

  4. В процессе регистрации сетевого контроллера коммутатор, развернутый на узлах для подключения логической сети управления, преобразуется в коммутатор SDN.As part of network controller on-boarding, the switch that you deployed on the hosts for the Management logical network connectivity was converted to an SDN switch. Этот коммутатор можно использовать для развертывания сети, управляемой сетевым контроллером, включая логическую сеть поставщика HNV.This switch can now be used to deploy a network controller managed network including the HNV provider logical network. Убедитесь, что в параметрах профиля порта исходящей связи для логического коммутатора выбран сетевой сайт, соответствующий логической сети поставщика HNV.Ensure you select the network site corresponding to the HNV provider logical network in the uplink port profile settings for the Management logical switch.

    Порт исходящей связи

Логическая сеть поставщика HNV теперь доступна для всех узлов в группе узлов, управляемой сетевым контроллером.The HNV provider logical network is now accessible to all the hosts in the network controller managed host group.

Создание сети виртуальных машин клиентов и пулов IP-адресовCreate tenant VM networks and IP pools

Теперь необходимо создать две сети виртуальных машин и пулы IP-адресов для двух клиентов в своей инфраструктуре SDN, чтобы проверить возможность подключения.Now, create two VM networks and IP pools for two tenants in your SDN infrastructure, to test connectivity.

Примечание

  • Не используйте первый IP-адрес в доступной подсети.Do not use the first IP address of your available subnet. Например, если доступная подсеть включает адреса от .1 до .254, начните диапазон с .2.For example, if your available subnet is from .1 to .254, start your range at .2 or greater.
  • В настоящее время создать сеть виртуальных машин с параметром Без изоляции для логических сетей, управляемых сетевым контроллером, нельзя.Currently you can’t create a VM network with No Isolation for logical networks that are managed by the network controller. При создании сетей виртуальных машин, связанных с логическими сетями поставщика HNV, необходимо выбрать параметр Изоляция с помощью виртуализации сети Hyper-V.You must choose the Isolate using Hyper-V Network Virtualization isolation option when creating VM Networks associated with HNV Provider logical networks.
  • Поскольку сетевой контроллер еще не протестирован с IPv6, при создании сети виртуальных машин используйте IPv4 и для логической сети, и для сети виртуальных машин.Since the network controller is not yet tested with IPv6, use IPv4 for both the logical network and the VM network when you create a VM network.
  1. Создайте сеть виртуальных машин для каждого клиента.Create a VM network for each tenant.

  2. Создайте пул IP-адресов для каждой сети виртуальных машин.Create an IP address pool for each VM network.

Примечание

При создании сети виртуальных машин для включения поддержки IPv6 выберите IPv6 в раскрывающемся меню IP-адрес для сети виртуальных машин.When you create VM network, to enable IPv6 support, select IPv6 from the IP address protocol for the VM network drop-down menu.

Сеть HNV

Создание виртуальных машин клиентовCreate tenant virtual machines

Теперь вы можете создать виртуальные машины клиентов, подключенные к виртуальной сети клиента.Now, you can create tenant virtual machines connected to the tenant virtual network.

  • Убедитесь, что виртуальные машины клиентов пропускают трафик IPv4 ICMP через брандмауэр.Ensure that your tenant virtual machines allow IPv4 ICMP through their firewall. По умолчанию Windows Server его блокирует.By default, Windows Server blocks this.
  • Чтобы включить поддержку протокола IPv4 ICMP посредством брандмауэра, выполните команду New-NetFirewallRule – DisplayNam "Разрешить входящий трафик ICMPv4-In" — протокол ICMPv4.To allow IPv4 ICMP through the firewall, run the command New-NetFirewallRule –DisplayName “Allow ICMPv4-In” –Protocol ICMPv4.
  • Убедитесь, что виртуальные машины арендаторов разрешают прохождение трафика IPv4/IPv6 ICMP через брандмауэр.Ensure that your tenant virtual machines allow IPv4/IPv6 ICMP through their firewall. По умолчанию Windows Server его блокирует.By default, Windows Server blocks this.
    • Чтобы включить поддержку протокола IPv4 ICMP посредством брандмауэра, выполните команду New-NetFirewallRule – DisplayNam "Разрешить входящий трафик ICMPv4-In" — протокол ICMPv4.To allow IPv4 ICMP through the firewall, run the command New-NetFirewallRule –DisplayName “Allow ICMPv4-In” –Protocol ICMPv4.
    • Чтобы включить поддержку протокола IPv6 ICMP посредством брандмауэра, выполните команду New-NetFirewallRule – DisplayNam "Разрешить входящий трафик ICMPv6-In" — протокол ICMPv6 (применимо для версии 2019 UR2 и более поздних версий).To allow IPv6 ICMP through the firewall, run the command New-NetFirewallRule –DisplayName “Allow ICMPv6-In” –Protocol ICMPv6 (applicable for 2019 UR2 and later).
  1. Если вы хотите создать виртуальную машину на основе существующего жесткого диска, выполните эти инструкции.If you want to create a VM from an existing hard disk, follow these instructions.
  2. Развернув хотя бы две виртуальные машины, подключенные к вашей сети виртуальных машин, вы сможете обратиться к одной виртуальной машине клиента с другой и проверить, успешно ли развернут сетевой контроллер в качестве сетевой службы и может ли он управлять сетью поставщика HNV таким образом, чтобы виртуальные машины клиентов могли обмениваться данными.After you deploy at least two VMs connected to the network, you can ping one tenant virtual machine from the other tenant virtual machine to validate that the network controller has been deployed as a network service successfully, and that it can manage the HNV Provider network so that tenant virtual machines can ping each other.

Удаление сетевого контроллера из структуры SDNRemove the network controller from the SDN fabric

Используйте следующие шаги, чтобы удалить сетевой контроллер из структуры SDN.Use these steps to remove the network controller from the SDN fabric.

Дальнейшие действияNext steps

Создание подсистемы балансировки нагрузкиCreate a software load balancer