Konfigurera en RAS-gateway med SDN i VMM-infrastrukturresurserna

  • Artikel
  • 11 minuter för att läsa

Viktigt

Den här versionen av Virtual Machine Manager (VMM) har nått slutet av supporten, vi rekommenderar att du uppgraderar till VMM 2022.

Den här artikeln beskriver hur du konfigurerar en SDN RAS-gateway (Software Defined Networking) i infrastrukturresurserna System Center – Virtual Machine Manager (VMM).

En SDN RAS-gateway är ett datasökvägselement i SDN som möjliggör plats-till-plats-anslutningar mellan två autonoma system. Specifikt möjliggör en RAS-gateway plats-till-plats-anslutning mellan fjärranslutna klientnätverk och ditt datacenter med hjälp av IPSec, Generic Routing Encapsulation (GRE) eller Layer 3-vidarebefordran. Läs mer.

Anteckning

VMM 2022 har stöd för dubbla staplar för RAS-gateway.

Anteckning

  • Från VMM 2019 UR1 ändras en ansluten nätverkstyp till Anslutet nätverk.
  • VMM 2019 UR2 och senare stöder IPv6.

Innan du börjar

Kontrollera följande innan du börjar:

  • Planera: Läs om att planera ett programvarudefinierat nätverk och gå igenom planeringstopologin i det här dokumentet. Diagrammet visar ett exempel på en installation med fyra noder. Installationen har hög tillgänglighet med tre nätverksstyrenhetsnoder (virtuella datorer) och tre SLB/MUX-noder. Den visar två klientorganisationer med ett virtuellt nätverk uppdelat i två virtuella undernät för att simulera en webbnivå och en databasnivå. Både infrastrukturen och klientorganisationens virtuella datorer kan distribueras om över en fysisk värd.
  • Nätverksstyrenhet: Du bör distribuera nätverksstyrenheten innan du distribuerar RAS-gatewayen.
  • SLB: För att säkerställa att beroenden hanteras korrekt, bör du även distribuera SLB innan du konfigurerar en gateway. Om en SLB och en gateway har konfigurerats kan du använda och verifiera en IPSec-anslutning.
  • Tjänstmall: VMM använder en tjänstmall för att automatisera distributionen av GW. Tjänstmallarna har stöd för distribution med flera noder både på första och andra generationens virtuella datorer.

Distributionssteg

För att konfigurera en RAS-gateway gör du följande:

  1. Hämta tjänstmallen: Hämta den tjänstmall som du behöver för att distribuera GW.
  2. Skapa det logiska VIP-nätverket: Skapa ett logiskt VIP-nätverk med GRE-funktion. Den måste en IP-adresspool för privata VIP-adresser och tilldela VIP-adresser för GRE-slutpunkter. Nätverket finns för att definiera VIP-adresser som har tilldelas virtuella gatewaydatorer som körs i SDN -infrastrukturresursen för en GRE-anslutning mellan platser.

Anteckning

Om du vill aktivera stöd för dubbla staplar lägger du till IPv6-undernät på nätverksplatsen och skapar en IPv6-adresspool när du skapar logiska GRE VIP-nätverk. (gäller för 2022 och senare)

  1. Importera tjänstmallen: Importera RAS-gatewaytjänstmallen.
  2. Distribuera gatewayen: Distribuera en gateway-tjänstinstans och konfigurera dess egenskaper.
  3. Kontrollera distributionen: Konfigurera GRE, IPSec eller L3 för plats-till-plats och kontrollera distributionen.

Hämta tjänstmallen

  1. Hämta SDN-mappen från GitHub-lagringsplatsen för Microsoft SDN och kopiera mallarna från VMM>Mallar>GW till en lokal sökväg på VMM-servern.
  2. Extrahera innehållet till en mapp på en lokal dator. Du importerar innehållet till biblioteket senare.

Den hämtade filen innehåller två mallar:

  • Mallen EdgeServiceTemplate_Generation 1 VM.xml används för att distribuera GW-tjänsten på virtuella datorer i generation 1.
  • Mallen EdgeServiceTemplate_Generation 2 VM.xml används för att distribuera GW-tjänsten på virtuella datorer i generation 2.

Båda mallarna har som standard tre virtuella datorer som du kan ändra i tjänstmalldesignern.

Skapa GRE VIP-logiskt nätverk

  1. Kör guiden Skapa logiskt nätverk från VMM-konsolen. Ange ett namn, ange en beskrivning och klicka på Nästa.
  1. I Inställningar väljer du Ett anslutet nätverk. Du kan även välja Skapa ett virtuellt datornätverk med samma namn. Med den här inställningen kan virtuella datorer komma åt det här logiska nätverket direkt. Välj Managed by the Network Controller (Hanteras av nätverksstyrenheten) och klicka på Nästa.
  • För VMM 2019 UR1 och senare i Inställningar väljer du Anslutet nätverk och sedan Hanterat av nätverksstyrenheten och klickar på Nästa.
  1. I Inställningar väljer du Anslutet nätverk. och välj Hanterad av nätverksstyrenheten och klicka på Nästa.

  1. Under Nätverksplats anger du följande inställningar:

    Här följer exempelvärdena:

    • Nätverksnamn: GRE VIP
    • Undernät: 31.30.30.0
    • Mask: 24
    • VLAN-ID på segment: NA
    • Gateway: 31.30.30.1
  1. Granska inställningarna under Sammanfattning och slutför guiden.

  1. Om du vill använda IPv6 lägger du till både IPv4- och IPV6-undernät på nätverksplatsen. Här följer exempelvärdena:

    • Nätverksnamn: GRE VIP
    • Undernät: FD4A:293D:184F:382C::
    • Mask: 64
    • VLAN-ID på segment: NA
    • Gateway: FD4A:293D:184F:382C::1

  2. Granska inställningarna under Sammanfattning och slutför guiden.

  1. Om du vill använda IPv4 lägger du till IPv4-undernät på nätverksplatsen och skapar IPv4-adresspoolen. Här följer exempelvärdena:

    • Nätverksnamn: GRE VIP
    • Undernät:
    • Mask:
    • VLAN-ID på segment: NA
    • Gateway:

  2. Om du vill använda IPv6 lägger du till både IPv4- och IPV6-undernät på nätverksplatsen och skapar IPv6-adresspoolen. Här följer exempelvärdena:

    • Nätverksnamn: GRE VIP
    • Undernät: FD4A:293D:184F:382C::
    • Mask: 64
    • VLAN-ID på segment: NA
    • Gateway: FD4A:293D:184F:382C::1

  3. Granska inställningarna under Sammanfattning och slutför guiden.

Skapa en IP-adresspool för GRE VIP-adresser

Anteckning

Från VMM 2019 UR1 och senare kan du skapa EN IP-adresspool med guiden Skapa logiskt nätverk .

Anteckning

Du kan skapa EN IP-adresspool med guiden Skapa logiskt nätverk .

  1. Högerklicka på det logiska GRE VIP-nätverket >Skapa IP-pool.
  2. Ange ett Namn och en valfri beskrivning av poolen och kontrollera att VIP-nätverket är valt. Klicka på Nästa.
  3. Acceptera standardnätverksplatsen och klicka på Nästa.
  1. Välj en första och sista IP-adress för ditt intervall. Starta intervallet på den andra adressen för det tillgängliga undernätet. Om ditt tillgängliga undernät till exempel är mellan .1 och .254 startar du intervallet vid.2.
  2. I rutan IP-adresser som reserverats för lastbalanserar-VIP anger intervallet för IP-adresser i undernätet. Intervallet som du använde för den första och sista IP-adressen ska matcha.
  3. Du behöver inte ange information om gateway, DNS eller WINS eftersom den här poolen endast används för att allokera IP-adresser för VIP-adresser via nätverksstyrenheten. Klicka på Nästa om du vill hoppa över dessa skärmar.
  4. Granska inställningarna under Sammanfattning och slutför guiden.
  1. Om du hade skapat IPv6-undernätet skapar du en separat IPv6 GRE VIP-adresspool.
  2. Välj en första och sista IP-adress för ditt intervall. Starta intervallet på den andra adressen för det tillgängliga undernätet. Om ditt tillgängliga undernät till exempel är mellan .1 och .254 startar du intervallet vid.2. Använd inte den förkortade formen av IPv6-adress för att ange VIP-intervall. Använd formatet 2001:db8:0:200:0:0:0:7 i stället för 2001:db8:0:200::7
  3. I rutan IP-adresser som reserverats för lastbalanserar-VIP anger intervallet för IP-adresser i undernätet. Intervallet som du använde för den första och sista IP-adressen ska matcha.
  4. Du behöver inte ange information om gateway, DNS eller WINS eftersom den här poolen endast används för att allokera IP-adresser för VIP-adresser via nätverksstyrenheten. Klicka på Nästa om du vill hoppa över dessa skärmar.
  5. Granska inställningarna under Sammanfattning och slutför guiden.

Importera tjänstmallen

  1. Klicka på BibliotekImportera> mall.

  2. Bläddra till mappen med tjänstmallen. Välj till exempel filen EdgeServiceTemplate Generation 2.xml .

  3. Uppdatera parametrar för din miljö när du importerar tjänstmallen. Observera att biblioteksresurserna importerades under distributionen av nätverksstyrenheten.

    • WinServer.vhdx: Välj den avbildning av den virtuella hårddisken som du förberedde och importerade tidigare under distributionen av nätverksstyrenheten.
    • EdgeDeployment.CR: Mappa till EdgeDeployment.cr-biblioteksresursen i VMM-biblioteket.

  4. Granska informationen på sidan Sammanfattning och klicka sedan på Importera.

    Anteckning

    Du kan anpassa tjänstmallen. Läs mer.

Distribuera gateway-tjänsten

Om du vill aktivera IPv6 markerar du kryssrutan Aktivera IPv6 när du registrerar gatewaytjänsten och markerar det IPv6 GRE VIP-undernät som du skapade tidigare. Välj också offentlig IPv6-pool och ange den offentliga IPv6-adressen.

I det här exemplet används mallen för generering 2.

  1. Välj tjänstmallen EdgeServiceTemplate Generation2.xml och klicka på Konfigurera distribution.

  2. Skriv ett Namn och välj ett mål för tjänstinstansen. Målet måste mappas till en värdgrupp som innehåller de värdar som konfigurerats tidigare för gateway-distribution.

  3. Under Nätverksinställningar mappar du hanteringsnätverket till hanteringsnätverket för virtuella datorer.

    Anteckning

    Dialogrutan Distribuera tjänst visas när mappningen är klar. Det är normalt att de virtuella datorinstanserna initialt är röda. Hitta automatiskt lämpliga värdar för den virtuella datorn genom att klicka på Uppdatera förhandsgranskning.

  4. Till vänster om fönstret Konfigurera distribution kan du konfigurera följande inställningar:

    • AdminAccount. Krävs. Välj ett Kör som-konto som ska användas som lokal administratör på de virtuella datorerna för gatewayen.
    • Hanteringsnätverk. Krävs. Välj det hanterings-VM-nätverk som du skapade för värdhantering.
    • Hanteringskonto. Krävs. Välj ett Kör som-konto som har behörighet att lägga till en gateway till den Active Directory-domän som är kopplad till nätverksstyrenheten. Detta kan vara samma konto som du använde för MgmtDomainAccount när du distribuerade nätverksstyrenheten.
    • FQDN. Krävs. FQDN för Active Directory-domänet för gatewayen.

  5. Påbörja tjänstdistributionsjobbet genom att klicka på Distribuera tjänst.

    Anteckning

    • Distributionstiderna varierar beroende på din maskinvara, men ligger vanligtvis på mellan 30 och 60 minuter. Om gatewaydistributionen misslyckas tar du bort den misslyckade tjänstinstansen i Alla värdarTjänster> innan du försöker distribuera igen.

    • Om du inte använder en volymlicensierad VHDX (eller om produktnyckeln inte levereras med hjälp av en svarsfil) stoppas distributionen på sidan Produktnyckel under etableringen av den virtuella datorn. Du måste bereda dig åtkomst till den virtuella datorns skrivbord manuellt och antingen ange nyckeln, eller hoppa över den.

    • Om du vill skala in eller skala ut en distribuerad SLB-instans kan du läsa den här bloggen.

Gatewaygränser

Följande är standardgränserna för NC-hanterad gateway:

  • MaxVMNetworksSupported= 50
  • MaxVPNConnectionsPerVMNetwork= 10
  • MaxVMSubnetsSupported= 550
  • MaxVPNConnectionsSupported= 250

Anteckning

För ett virtualiserat SDNv2-nätverk skapas ett internt routningsundernät för varje virtuellt datornätverk. MaxVMSubnetsSupported-gränsen omfattar de interna undernät som skapats för virtuella datornätverk.

Du kan åsidosätta standardgränserna för den hanterade nätverksstyrenhetens gateway. Om du åsidosätter gränsen till ett högre antal kan det dock påverka nätverksstyrenhetens prestanda.

Åsidosätt gatewaygränserna

Om du vill åsidosätta standardgränserna lägger du till åsidosättningssträngen i nätverksstyrenhetens tjänstanslutningssträng och uppdaterar i VMM.

  • MaxVMNetworksSupported= följt av antalet virtuella datornätverk som kan användas med den här gatewayen.
  • MaxVPNConnectionsPerVMNetwork= följt av antalet VPN-anslutningar som kan skapas per virtuellt datornätverk med den här gatewayen.
  • MaxVMSubnetsSupported= följt av antalet virtuella datornätverksundernät som kan användas med den här gatewayen.
  • MaxVPNConnectionsSupported= följt av antalet VPN-anslutningar som kan användas med den här gatewayen.

Exempel:

Om du vill åsidosätta det maximala antalet virtuella datornätverk som kan användas med gatewayen till 100 uppdaterar du anslutningssträngen enligt följande:

serverurl=https://NCCluster.contoso.com;servicename=NC_VMM_RTM; MaxVMNetworksSupported==100

Konfigurera gateway-hanterarrollen

Nu när gateway-tjänsten har distribuerats kan du konfigurera dess egenskaper och associera dessa med nätverksstyrenhetstjänsten.

  1. Klicka på InfrastrukturNätverkstjänst> för att visa listan över installerade nätverkstjänster. Högerklicka på nätverksstyrenhetstjänstens >egenskaper.

  2. Klicka på fliken Tjänster och markera Gateway-hanterarroll.

  3. Leta upp fältet Associerad tjänst under Tjänstinformation och klicka på Bläddra. Välj den gatewaytjänstinstans som du skapade tidigare och klicka på OK.

  4. Välj det Kör som-konto som ska användas av nätverksstyrenheten för åtkomst till virtuella datorer för gateway.

    Anteckning

    Kör som-kontot måste ha administratörsbehörighet på de virtuella gatewaydatorerna.

  5. I GRE VIP-undernät väljer du det VIP-undernät som du skapade tidigare.

  1. Under Offentlig IPv4-pool väljer du den pool som du konfigurerade under SLB-distributionen. Under Offentlig IPv4-adress anger du en IP-adress från den tidigare poolen och se till att du inte markerar någon av de första tre IP-adresserna i intervallet.

  1. Om du vill aktivera IPv4-stöd går du till offentlig IPv4-pool och väljer den pool som du konfigurerade under SLB-distributionen. Under Offentlig IPv4-adress anger du en IP-adress från den tidigare poolen och se till att du inte markerar någon av de första tre IP-adresserna i intervallet.

  2. Om du vill aktivera IPv6-stöd går du till Kryssrutan Egenskaper för>nätverksstyrenhetTjänster, markerar kryssrutan Aktivera IPv6, markerar det IPv6 GRE VIP-undernät som du skapade tidigare och anger den offentliga IPv6-poolen respektive den offentliga IPv6-adressen. Välj också IPv6-klientdelsundernät som ska tilldelas till virtuella gatewaydatorer.

    IPv6 enable

  3. Under Gateway-kapacitet konfigurerar du kapacitetsinställningarna.

    Gateway-kapaciteten (Mbit/s) anger den normala TCP-bandbredden som förväntas för den virtuella gateway-datorn. Du måste ange den här parametern baserat på den underliggande nätverkshastigheten som du använder.

    Bandbredden för IPSec-tunnel är begränsad till (3/20) av gateway-kapaciteten. Det här innebär att om gateway-kapaciteten är angiven som 1 000 Mbit/s är den motsvarande kapaciteten för IPSec-tunnel begränsad till 150 Mbit/s.

    Anteckning

    Bandbreddsgränsen är det totala värdet för inkommande bandbredd och utgående bandbredd.

    Motsvarande förhållanden för GRE- och L3-tunnlar är 1/5 respektive 1/2.

  4. Konfigurera antalet noder som är reserverade för säkerhetskopiering i fältet Noder reserverade för fel.

  5. Om du vill konfigurera enskilda vituella gateway-datorer klickar du på varje enskild virtuell dator och väljer klientdelens IPv4-undernät, anger lokal ASN och väljer eventuellt att lägga till peeringenhetsinformation för en BGP-peer.

Anteckning

Du måste konfigurera gatewayens BGP-peer-datorer om du planerar att använda GRE-anslutningar.

Den tjänstinstans som du har distribuerat är nu knuten till rollen gatewayhanterare. Du bör nu se gatewayinstansen för den virtuella datorn listad härunder.

  1. Under Gateway-kapacitet konfigurerar du kapacitetsinställningarna.

    Gateway-kapaciteten (Mbit/s) anger den normala TCP-bandbredden som förväntas för den virtuella gateway-datorn. Du måste ange den här parametern baserat på den underliggande nätverkshastigheten som du använder.

    Bandbredden för IPSec-tunnel är begränsad till (3/20) av gateway-kapaciteten. Det här innebär att om gateway-kapaciteten är angiven som 1 000 Mbit/s är den motsvarande kapaciteten för IPSec-tunnel begränsad till 150 Mbit/s.

    Anteckning

    Bandbreddsgränsen är det totala värdet för inkommande bandbredd och utgående bandbredd.

    Motsvarande kvoter för GRE och L3-tunnlar är 1/5 respektive 1/2.

  2. Konfigurera antalet noder som är reserverade för säkerhetskopiering i fältet Noder reserverade för fel.

  3. Om du vill konfigurera enskilda vituella gateway-datorer klickar du på varje enskild virtuell dator och väljer klientdelens IPv4-undernät, anger lokal ASN och väljer eventuellt att lägga till peeringenhetsinformation för en BGP-peer.

Anteckning

Du måste konfigurera gatewayens BGP-peer-datorer om du planerar att använda GRE-anslutningar.

Den tjänstinstans som du har distribuerat är nu knuten till rollen gatewayhanterare. Du bör nu se gatewayinstansen för den virtuella datorn listad härunder.

Verifiera distributionen

När du har distribuerat gatewayen kan du konfigurera S2S GRE-, S2S IPSec- och L3-anslutningstyper och verifiera dem. Mer information finns i följande innehåll:

Mer information om anslutningstyper finns i den här artikeln.

Konfigurera trafikväljaren från PowerShell

Här följer stegen för att konfigurera trafikväljaren med hjälp av VMM PowerShell.

  1. Skapa trafikväljaren med följande parametrar.

    Anteckning

    Värden som används är endast exempel.

    $t= new-object Microsoft.VirtualManager.Remoting.TrafficSelector

$t.Type=7 // IPV4=7, IPV6=8

$t.ProtocolId=6 // TCP =6, reference: https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers

$t.PortEnd=5090

$t.PortStart=5080

$t.IpAddressStart=10.100.101.10

$t.IpAddressEnd=10.100.101.100

  2. Konfigurera trafikväljaren ovan genom att använda -LocalTrafficSelectors-parametern för Add-SCVPNConnection eller Set-SCVPNConnection.

Ta bort gatewayen från SDN-infrastrukturen

Använd de här stegen för att ta bort gatewayen från SDN-infrastrukturen.