Настройка шлюза RAS сети SDN в структуре VMM

В этой статье описывается, как настроить шлюз RAS SDN в структуре System Center Virtual Machine Manager (VMM).

Шлюз RAS SDN — это элемент пути данных в SDN, который обеспечивает подключение типа "сайт–сайт" между двумя автономными системами. В частности, шлюз RAS обеспечивает подключение типа "сеть — сеть" между удаленными сетями клиента и центром обработки данных с помощью IPSec, универсальной инкапсуляции маршрутизации (GRE) или перенаправления уровня 3. Подробнее.

Примечание

В VMM 2022 предоставляется поддержка двух стеков для шлюза службы RAS.

Перед началом работы

Прежде чем начать, убедитесь в том, что выполняются указанные ниже условия.

• Планирование. Ознакомьтесь со сведениями о планировании программно-конфигурируемой сети. Информацию о топологии планирования можно найти в этом документе. На диаграмме показан пример установки с 4 узлами. Настройка высокодоступна с тремя узлами сетевого контроллера (VM) и тремя узлами SLB/MUX. Она включает в себя два клиента с одной виртуальной сетью, разбитой на две виртуальных подсети для имитации веб-уровня и уровня базы данных. Виртуальные машины инфраструктур и клиентов можно распределять по физическому узлу.
• Сетевой контроллер. Сетевой контроллер необходимо развернуть перед развертыванием шлюза RAS.
• Подсистема SLB. Чтобы гарантировать правильность обработки зависимостей, необходимо развернуть программную подсистему балансировки нагрузки (SLB) перед настройкой шлюза. Если подсистема SLB и шлюз настроены, вы можете использовать и проверить подключение IPSec.
• Шаблон службы. VMM использует шаблон службы для автоматизации развертывания шлюза. Шаблоны служб поддерживают развертывание нескольких узлов в виртуальных машинах поколения 1 и 2.

Шаги по развертыванию

Чтобы настроить шлюз RAS, сделайте следующее.

1. Скачивание шаблона службы. Скачайте шаблон службы, необходимый для развертывания шлюза.

2. Создание логической сети виртуальных IP-адресов. Создайте логическую сеть виртуальных IP-адресов GRE. Ему требуется пул IP-адресов для частных ВИРТУАЛЬНЫх IP-адресов и назначение виртуальных IP-адресов конечным точкам GRE. Сеть может определять виртуальные IP-адреса, назначаемые виртуальным машинам шлюза, работающим в структуре SDN, для подключения GRE типа "сеть–сеть".

   Примечание

   Чтобы включить поддержку двух стеков, во время создания логической сети виртуальных IP-адресов GRE добавьте подсеть IPv6 на сетевой сайт и создайте пул адресов IPv6. (применимо для версии 2022 и более поздних)

3. Импорт шаблона службы. Импортируйте шаблон службы шлюза RAS.

4. Развертывание шлюза. Выполните развертывание экземпляра службы шлюза и настройте его свойства.

5. Проверка развертывания. Настройте подключение GRE типа "сеть-сеть", IPSec или L3 и проверьте развертывание.

Скачивание шаблона службы

1. Скачайте папку SDN из репозитория GitHub сети Microsoft SDN и скопируйте шаблоны из вложенной папки VMM>Templates>GW по локальному пути на сервере VMM.
2. Извлеките файлы в папку на локальном компьютере. Вы импортируете их в библиотеку позже.

Скачиваемый пакет содержит два шаблона:

• шаблон EdgeServiceTemplate_Generation 1 VM.xml, предназначенный для развертывания службы шлюза на виртуальных машинах поколения 1;
• VM.xml EdgeServiceTemplate_Generation 2 предназначен для развертывания службы GW на виртуальных машинах поколения 2.

Оба шаблона имеют число по умолчанию трех виртуальных машин, которые можно изменить в конструкторе шаблонов служб.

Создание логической сети виртуальных IP-адресов GRE

1. В консоли VMM запустите мастер создания логической сети. Введите имя, при необходимости укажите описание и нажмите кнопку Далее.

2. В разделе Параметры выберите Подключенная сеть, Управляемые сетевым контроллером, а затем нажмите кнопку Далее.

3. В разделе Сетевой сайт настройте следующие параметры.

   Ниже приведены примеры значений:

   • Имя сети: GRE VIP
   • Подсеть: 31.30.30.0
   • Маска: 24
   • ИД виртуальной ЛС в магистрали: Н/Д
   • Шлюз: 31.30.30.1

4. Чтобы использовать IPv4, добавьте подсеть IPv4 на сетевой сайт и создайте пул адресов IPv4. Ниже приведены примеры значений:

   • Имя сети: GRE VIP
   • Подсеть:
   • Маска:
   • ИД виртуальной ЛС в магистрали: Н/Д
   • Шлюз:

5. Чтобы использовать IPv6, добавьте подсети IPv4 и IPv6 на сетевой сайт и создайте пул адресов IPv6. Ниже приведены примеры значений:

   • Имя сети: GRE VIP
   • Подсеть: FD4A:293D:184F:382C::
   • Маска: 64
   • ИД виртуальной ЛС в магистрали: Н/Д
   • Шлюз: FD4A:293D:184F:382C::1

6. В разделе Сводка проверьте параметры и завершите работу мастера.

Создание пула IP-адресов для виртуальных IP-адресов GRE

Примечание

Пул IP-адресов можно создать с помощью мастера создания логической сети .

1. Щелкните логическую сеть виртуальных IP-адресов GRE правой кнопкой мыши и выберите Создать пул IP-адресов.
2. Введите Имя и (по желанию) описание пула, а затем убедитесь в том, что выбрана сеть виртуальных IP-адресов. Выберите Далее.
3. Примите сетевой сайт по умолчанию и нажмите кнопку Далее.

4. Если вы создали подсеть IPv6, необходимо создать отдельный пул адресов IPv6 ПКУ VIP.
5. Выберите начальный и конечный IP-адреса для диапазона. Начните диапазон со второго адреса доступной подсети. Например, если доступная подсеть включает адреса от .1 до .254, начните диапазон с адреса .2. Для указания диапазона ВИРТУАЛЬНЫх IP-адресов не используйте сокращенную форму IPv6-адреса; Используйте формат 2001:db8:0:200:0:0:0:7 вместо 2001:db8:0:200::7.
6. В поле IP-адреса, зарезервированные для балансировки нагрузки введите диапазон IP-адресов в подсети. Он должен соответствовать диапазону, который вы использовали для определения начального и конечного IP-адресов.
7. Вам не нужно предоставлять сведения о шлюзе, DNS или WINS, так как этот пул используется для выделения IP-адресов для виртуальных ip-адресов только через сетевой контроллер. Нажмите кнопку Далее , чтобы пропустить эти экраны.
8. В разделе Сводка проверьте параметры и завершите работу мастера.

Исключение шаблона службы

1. Выберите Шаблон импорта библиотеки>.
2. Перейдите к папке шаблона службы. В качестве примера выберите файл EdgeServiceTemplate Generation 2.xml.
3. При импорте шаблона службы обновите параметры своей среды.

Примечание

Ресурсы библиотеки были импортированы во время развертывания сетевого контроллера.

• WinServer.vhdx. Выберите образ виртуального жесткого диска, который вы подготовили и импортировали ранее во время развертывания сетевого контроллера.
• EdgeDeployment.CR. Сопоставьте с ресурсом библиотеки EdgeDeployment.cr в библиотеке VMM.

4. На странице Сводка просмотрите сведения и выберите Импорт.

   Примечание

   Шаблон службы можно настроить. Подробнее.

Развертывание службы шлюза

Чтобы включить IPv6, во время подключения службы шлюза установите флажок Включить IPv6 и выберите созданную ранее подсеть IPv6 GRE. Затем выберите пул общедоступных IPv6 и укажите общедоступный IPv6-адрес.

В этом примере используется шаблон поколения 2.

1. Выберите шаблон службы EdgeServiceTemplate Generation2.xml и выберите Настроить развертывание.

2. Введите имя и выберите место назначения для экземпляра службы. Место назначения должно быть сопоставлено с группой узлов, содержащей узлы, которые были настроены ранее для развертывания шлюза.

3. В разделе Параметры сети сопоставьте сеть управления с сетью виртуальных машин управления.

   Примечание

   После завершения сопоставления появится диалоговое окно Развертывание службы . Изначально экземпляры виртуальных машин могут быть выделены красным, это нормально. Выберите Обновить предварительный просмотр , чтобы автоматически найти подходящие узлы для виртуальной машины.

4. В левой части окна Настроить развертывание настройте указанные ниже параметры.

   • AdminAccount. Обязательный. Выберите учетную запись запуска от имени, которая будет использоваться в качестве локального администратора на виртуальных машинах шлюза.
   • Сеть управления. Обязательный. Выберите сеть виртуальных машин управления, созданную для управления узлами
   • Учетная запись управления. Обязательный. Выберите учетную запись запуска от имени с разрешениями на добавление шлюза в домен Active Directory, связанный с сетевым контроллером. Эта может быть та же учетная запись, которую вы использовали для MgmtDomainAccount при развертывании сетевого контроллера.
   • Полное доменное имя. Обязательный. Полное доменное имя домена Active Directory для шлюза.

5. Выберите Развернуть службу , чтобы начать задание развертывания службы.

   Примечание

   • Время развертывания будет зависеть от оборудования, но обычно составляет от 30 до 60 минут. Если происходит сбой развертывания шлюза, удалите неисправный экземпляр службы в разделе Все узлы>Службы, прежде чем повторять попытку развертывания.

   • Если вы не используете лицензированный VHDX (или ключ продукта не предоставлен с помощью файла ответа), процесс развертывания останавливается на странице Ключ продукта при подготовке виртуальных машин. Необходимо вручную получить доступ к рабочему столу виртуальной машины и ввести ключ или пропустить его.

   • Если вы хотите масштабировать развернутый экземпляр SLB, ознакомьтесь с этим блогом.

Ограничения шлюза

Ниже перечислены стандартные ограничения для шлюза, управляемого сетевым контроллером.

• MaxVMNetworksSupported= 50
• MaxVPNConnectionsPerVMNetwork= 10
• MaxVMSubnetsSupported= 550
• MaxVPNConnectionsSupported= 250

Примечание

Для виртуализированной сети SDNv2 для каждой сети виртуальной машины создается внутренняя подсеть маршрутизации. Предел MaxVMSubnetsSupported включает в себя внутренние подсети, созданные для сетей виртуальных машин.

Можно переопределить пределы по умолчанию, установленные для шлюза, управляемого сетевым контроллером. Однако переопределение такого предела на большее значение может негативно повлиять на производительность сетевого контроллера.

Переопределение ограничений шлюза

Чтобы переопределить стандартные ограничения, добавьте строку переопределения в строку подключения сетевой службы контроллера, а затем выполните обновление в VMM.

• MaxVMNetworksSupported= (число сетей виртуальных машин, которые могут использоваться с этим шлюзом).
• MaxVPNConnectionsPerVMNetwork= (число VPN-подключений, которые могут быть созданы для каждой сети виртуальных машин, используемых с этим шлюзом).
• MaxVMSubnetsSupported= (число подсетей виртуальных машин, которые могут использоваться с этим шлюзом).
• MaxVPNConnectionsSupported= (число VPN-подключений, которые могут использоваться с этим шлюзом).

Пример:

Чтобы переопределить максимальное число сетей виртуальных машин, которые могут использоваться со шлюзом, до 100, обновите строку подключения следующим образом:

serverurl=https://NCCluster.contoso.com;servicename=NC_VMM_RTM; MaxVMNetworksSupported==100

Настройка роли диспетчера шлюза

Теперь, когда служба шлюза развернута, можно настроить свойства и связать ее со службой сетевого контроллера.

1. ВыберитеСетевая службаFabric>, чтобы отобразить список установленных сетевых служб. Щелкните службу сетевого контроллера правой кнопкой мыши и выберите пункт Свойства.

2. Перейдите на вкладку Службы и выберите роль диспетчера шлюза.

3. Найдите поле Связанная служба в разделе Сведения о службе и нажмите кнопку Обзор. Выберите созданный ранее экземпляр службы шлюза и нажмите кнопку ОК.

4. Выберите учетную запись запуска от имени, которая будет использоваться сетевым контроллером для доступа к виртуальным машинам шлюза.

   Примечание

   Учетная запись запуска от имени должна иметь права администратора на виртуальных машинах шлюза.

5. В поле Подсеть виртуальных IP-адресов GRE выберите подсеть виртуальных IP-адресов, созданную ранее.

6. Чтобы включить поддержку IPv4, в поле Пул общедоступных адресов IPv4 выберите пул, настроенный во время развертывания SLB. В поле Общедоступный адрес IPv4 укажите IP-адрес из указанного выше пула (не выбирайте первые три IP-адреса в этом диапазоне).

7. Чтобы включить поддержку IPv6, вразделе Свойства>сетевого контроллераустановите флажок Включить IPv6, выберите созданную ранее подсеть IPv6 GRE VIP и введите общедоступный пул IPv6 и общедоступный IPv6-адрес соответственно. Кроме того, выберите интерфейсную подсеть IPv6, которая будет назначена виртуальным машинам шлюза.

   

8. В разделе Пропускная способность шлюза настройте параметры пропускной способности.

   Пропускная способность шлюза (Мбит/с) — это обычная пропускная способность TCP, которая ожидается от шлюза виртуальной машины. Этот параметр необходимо установить на основе скорости базовой сети.

   Пропускная способность туннеля IPsec ограничена (3/20) мощности шлюза. Это означает, что если пропускная способность шлюза равна 1000 Мбит/с, то эквивалентная пропускная способность туннеля IPsec будет ограничена 150 Мбит/с.

   Примечание

   Предельная пропускная способность — это общее значение входящей пропускной способности и исходящей пропускной способности.

   Эквивалентные соотношения для туннелей GRE и L3 — 1/5 и 1/2 соответственно.

9. Настройте количество зарезервированных узлов для резервного копирования в поле Узлы для резервирования для сбоев.

10. Чтобы настроить отдельные виртуальные машины шлюза, выберите каждую виртуальную машину и интерфейсную подсеть IPv4, укажите локальное ASN и при необходимости добавьте сведения об устройстве пиринга для однорангового узла BGP.

Примечание

Если планируется использовать подключения GRE, необходимо настроить одноранговые узлы шлюза BGP.

Теперь развернутый экземпляр службы будет связан с ролью диспетчера шлюза. Под ним должен отображаться экземпляр виртуальной машины шлюза.

Примечание

Если планируется использовать подключения GRE, необходимо настроить одноранговые узлы шлюза BGP.

Теперь развернутый экземпляр службы будет связан с ролью диспетчера шлюза. Под ним должен отображаться экземпляр виртуальной машины шлюза.

Проверка развертывания

Развернув шлюз, можно настроить подключения GRE и IPSec типа "сеть-сеть" или L3 и проверить их работоспособность. Дополнительные сведения см. в следующем содержимом:

• Создание и проверка подключений IPSec типа "сеть-сеть"
• Создание и проверка подключения GRE типа "сеть-сеть"
• Создание и проверка подключений L3

Дополнительные сведения о типах подключений см. в этой статье.

Настройка селектора трафика из PowerShell

Ниже описана процедура настройки селектора трафика с помощью VMM PowerShell.

1. Вы можете создать селектор трафика с указанными ниже параметрами.

   Примечание

   Приведенные значения используются в только качестве примера.

   $t= new-object Microsoft.VirtualManager.Remoting.TrafficSelector
   
   $t.Type=7 // IPV4=7, IPV6=8
   
   $t.ProtocolId=6 // TCP =6, reference: https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers
   
   $t.PortEnd=5090
   
   $t.PortStart=5080
   
   $t.IpAddressStart=10.100.101.10
   
   $t.IpAddressEnd=10.100.101.100
   

2. Вы можете настроить указанный выше селектор трафика с помощью параметра -LocalTrafficSelectors командлета Add-SCVPNConnection или Set-SCVPNConnection.

Удаление шлюза из структуры SDN

Чтобы удалить шлюз из структуры SDN, выполните эти действия.