VMM dokusunda SDN RAS ağ geçidi ayarlama

Bu makalede, System Center - Virtual Machine Manager (VMM) dokusunda Yazılım Tanımlı Ağ (SDN) RAS ağ geçidinin nasıl ayarlanacağı açıklanır.

Bir SDN RAS ağ geçidi, SDN’de bulunan ve iki otonom sistem arasında siteden siteye bağlantıyı sağlayan bir veri yolu öğesidir. Özel olarak, RAS ağ geçidi IPSec, Genel Yönlendirme Kapsüllemesi (GRE) veya Katman 3 İletme kullanarak uzak kiracı ağları ile veri merkeziniz arasında siteden siteye bağlantı sağlar. Daha fazla bilgi edinin.

Not

VMM 2022, RAS ağ geçidi için çift yığın desteği sağlar.

Başlamadan önce

Başlamadan önce aşağıdaki işlemleri yapmalısınız:

• Planlama: Bir yazılım tanımlı ağ planlama hakkında araştırma yapın ve bu belgedeki planlama topolojisini inceleyin. Diyagram, 4 düğümlü bir kurulum örneği gösterir. Kurulum, Üç ağ denetleyicisi düğümü (VM) ve Üç SLB/MUX düğümü ile yüksek oranda kullanılabilir. Bir web katmanı ve bir veritabanı katmanı benzetimi yapmak için İki sanal alt ağa ayrılmış Bir sanal ağa sahip İki kiracıyı gösterir. Hem altyapı hem de kiracı sanal makineleri herhangi bir fiziksel konakta yeniden dağıtılabilir.
• Ağ denetleyicisi: RAS ağ geçidini dağıtmadan önce ağ denetleyicisini dağıtmanız gerekir.
• SLB: Bağımlılıkların doğru yönetildiğinden emin olmak için ağ geçidini ayarlamadan önce SLB’yi de dağıtmanız gerekir. SLB ve bir ağ geçidi yapılandırılmışsa, IPSec bağlantısını kullanabilir ve doğrulayabilirsiniz.
• Hizmet şablonu: VMM, ağ geçidi dağıtımını otomatikleştirmek için bir hizmet şablonu kullanır. Hizmet şablonları, 1. ve 2. nesil VM’lerde çok düğümlü dağıtımı destekler.

Dağıtım adımları

RAS ağ geçidini ayarlamak için şunları yapmanız gerekir:

1. Hizmet şablonunu indirme: Ağ geçidini dağıtmanız için gereken hizmet şablonunu indirin.

2. VIP mantıksal ağını oluşturma: Bir GRE VIP mantıksal ağı oluşturun. Özel VIP'ler ve GRE uç noktalarına VIP atamak için bir IP adresi havuzu gerekir. Ağ, SDN dokusunda siteden siteye GRE bağlantısı için çalışan ağ geçidi VM’lerine atanmış VIP’leri tanımlamak için vardır.

   Not

   Çift yığın desteğini etkinleştirmek için GRE VIP mantıksal ağı oluştururken ağ sitesine IPv6 alt ağı ekleyin ve IPv6 adres havuzu oluşturun. (2022 ve sonrası için geçerlidir)

3. Hizmet şablonunu içeri aktarma: RAS ağ geçidi hizmet şablonunu içeri aktarın.

4. Ağ geçidini dağıtma: Ağ geçidi hizmeti örneğini dağıtın ve özelliklerini yapılandırın.

5. Dağıtımı doğrulama: Siteden siteye GRE, IPSec veya L3’ü yapılandırın ve dağıtımı doğrulayın.

Hizmet şablonunu indirme

1. Microsoft SDN GitHub deposundan SDN klasörünü indirin, sonra şablonları VMM>Şablonlar>GW yolundan VMM sunucusundaki bir yerel yola kopyalayın.
2. İçeriği yerel bir bilgisayardaki bir klasöre ayıklayın. Bunları daha sonra kitaplığa içerir aktarırsınız.

İndirilen dosyada iki şablon bulunur:

• EdgeServiceTemplate_Generation 1 VM.xml şablonu, Ağ Geçidi Hizmetini 1. nesil sanal makinelere dağıtmak içindir.
• EdgeServiceTemplate_Generation 2 VM.xml, GW Hizmetini 2. nesil sanal makinelere dağıtmak içindir.

Her iki şablon da varsayılan olarak üç sanal makine sayısına sahiptir ve bu sayı hizmet şablonu tasarımcısında değiştirilebilir.

GRE VIP mantıksal ağ oluşturma

1. VMM konsolunda Mantıksal Ağ Oluşturma Sihirbazı’nı çalıştırın. Bir Ad yazın, isteğe bağlı olarak bir açıklama girin ve İleri'yi seçin.

2. Ayarlar'daBağlı Ağ'ı, Ağ Denetleyicisi tarafından yönetilen'i ve ardından İleri'yi seçin.

3. Ağ Sitesi’nde ayarları belirtin:

   Örnek değerler şu şekildedir:

   • Ağ adı: GRE VIP
   • Alt ağ: 31.30.30.0
   • Maske: 24
   • Santral VLAN kimliği: Yok
   • Ağ geçidi: 31.30.30.1

4. IPv4 kullanmak için ağ sitesine IPv4 alt ağı ekleyin ve IPv4 adres havuzu oluşturun. Örnek değerler şu şekildedir:

   • Ağ adı: GRE VIP
   • Alt ağ:
   • Maske:
   • Santral VLAN kimliği: Yok
   • Ağ geçidi:

5. IPv6'yı kullanmak için ağ sitesine hem IPv4 hem de IPV6 alt ağları ekleyin ve IPv6 adres havuzu oluşturun. Örnek değerler şu şekildedir:

   • Ağ adı: GRE VIP
   • Alt ağ: FD4A:293D:184F:382C::
   • Maske: 64
   • Santral VLAN kimliği: Yok
   • Ağ Geçidi: FD4A:293D:184F:382C::1

6. Özet’teki ayarları gözden geçirip sihirbazı bitirin.

GRE VIP adresleri için bir IP adresi havuzu oluşturma

Not

Mantıksal Ağ Oluşturma sihirbazını kullanarak bir IP adresi havuzu oluşturabilirsiniz.

1. GRE VIP mantıksal ağına > sağ tıklayarak IP Havuzu Oluştur'a tıklayın.
2. Havuz için bir Ad yazın, isteğe bağlı bir açıklama girin ve VIP Ağın seçili olduğundan emin olun. İleri’yi seçin.
3. Varsayılan ağ sitesini kabul edin ve İleri'yi seçin.

4. IPv6 alt ağı oluşturduysanız, ayrı bir IPv6 GRE VIP adres havuzu oluşturun.
5. Aralığınız için bir başlangıç ve bitiş IP adresi seçin. Aralığı kullanılabilir alt ağın ikinci adreslerinde başlatın. Örneğin, kullanılabilir alt ağ .1 ile .254 arasındaysa, aralığı .2’den başlatın. VIP aralığını belirtmek için IPv6 adresinin kısaltılmış biçimini kullanmayın; 2001:db8:0:200::7 yerine 2001:db8:0:200:0:7 biçimini kullanın.
6. Yük dengeleyici VIP’ler için ayrılmış IP adresleri kutusuna alt ağdaki IP adresleri aralığını yazın. Bu, başlangıç ve bitiş IP adresleri için kullandığınız aralıkla eşleşmelidir.
7. Bu havuz yalnızca ağ denetleyicisi aracılığıyla VIP'ler için IP adresleri ayırmak için kullanıldığından ağ geçidi, DNS veya WINS bilgileri sağlamanız gerekmez. Bu ekranları atlamak için İleri'yi seçin.
8. Özet’teki ayarları gözden geçirip sihirbazı bitirin.

Hizmet şablonunu içeri aktarma

1. Kitaplık>İçeri Aktarma Şablonu'nu seçin.
2. Hizmet şablonu klasörüne gidin. Örnek olarak EdgeServiceTemplate Oluşturma 2.xml dosyasını seçin.
3. Hizmet şablonunu içeri aktarırken parametreleri ortamınız için güncelleştirin.

Not

Kitaplık kaynakları ağ denetleyicisi dağıtımı sırasında içeri aktarıldı.

• WinServer.vhdx: Daha önce ağ denetleyicisi dağıtımı sırasında hazırlayıp içeri aktardığınız sanal sabit sürücü görüntüsünü seçin.
• EdgeDeployment.CR: VMM kitaplığındaki EdgeDeployment.cr kitaplık kaynağına eşleyin.

4. Özet sayfasında ayrıntıları gözden geçirin ve İçeri Aktar'ı seçin.

   Not

   Hizmet şablonunu özelleştirebilirsiniz. Daha fazla bilgi edinin.

Ağ geçidi hizmetini dağıtma

IPv6'yı etkinleştirmek için Ağ Geçidi hizmetini eklerken IPv6'yı etkinleştir onay kutusunu seçin ve daha önce oluşturduğunuz IPv6 GRE VIP alt akını seçin. Ayrıca, genel IPv6 havuzunu seçin ve genel IPv6 adresini sağlayın.

Bu örnek 2. kuşak şablonu kullanır.

1. EdgeServiceTemplate Generation2.xml hizmet şablonunu ve ardından Dağıtımı Yapılandır'ı seçin.

2. Bir Ad yazın ve hizmet örneği için bir hedef seçin. Hedef, daha önce ağ geçidi için yapılandırılmış konakları içeren bir konak grubuna eşlenmelidir.

3. Ağ Ayarları’nda yönetim ağını yönetim VM ağına eşleyin.

   Not

   Eşleme tamamlandıktan sonra Hizmeti Dağıt iletişim kutusu görüntülenir. VM örneklerinin başlangıçta Kırmızı olması normaldir. VM için uygun konakları otomatik olarak bulmak için Önizlemeyi Yenile'yi seçin.

4. Dağıtımı Yapılandır penceresinin sol tarafında aşağıdaki ayarları yapılandırın:

   • AdminAccount. Gereklidir. Ağ geçidi VM’lerinde yerel yönetici olarak kullanılmak üzere bir Farklı Çalıştır hesabı seçin.
   • Yönetim Ağı. Gereklidir. Konak yönetimi için oluşturduğunuz Yönetim VM Ağını seçin.
   • Yönetim Hesabı. Gereklidir. Ağ denetleyicisi ile ilişkilendirilmiş Active Directory etki alanına ağ geçidini ekleme izni olan bir Farklı çalıştır hesabı seçin. Bu, ağ denetleyicisini dağıtırken MgmtDomainAccount için kullanılan hesabın aynısı olabilir.
   • FQDN. Gereklidir. Ağ geçidi Active Directory etki alanı FQDN’si.

5. Hizmet dağıtım işini başlatmak için Hizmeti Dağıt'ı seçin.

   Not

   • Dağıtım zamanları donanımınıza bağlı olarak farklılık gösterir ancak genellikle 30 ila 60 dakika arasındadır. Ağ geçidi dağıtımı başarısız olursa, dağıtımı yeniden denemeden önce Tüm Konak>Hizmetleri'nde başarısız olan hizmet örneğini silin.

   • Toplu lisanslı bir VHDX kullanmıyorsanız (veya yanıt dosyası kullanılarak ürün anahtarı verilmiyorsa), dağıtım VM sağlama sırasında Ürün Anahtarı sayfasında durur. VM masaüstüne el ile erişmeniz ve anahtarı girmeniz veya atlamanız gerekir.

   • Dağıtılan bir SLB örneğinin ölçeğini daraltmak veya ölçeğini genişletmek istiyorsanız bu blogu okuyun.

Ağ geçidi limitleri

NC yönetilen ağ geçidi için varsayılan sınırlar şunlardır:

• MaxVMNetworksSupported= 50
• MaxVPNConnectionsPerVMNetwork= 10
• MaxVMSubnetsSupported= 550
• MaxVPNConnectionsSupported= 250

Not

SDNv2 sanallaştırılmış ağı için, her VM ağı için bir iç yönlendirme alt ağı oluşturulur. MaxVMSubnetsSupported sınırı, VM ağları için oluşturulan iç alt ağları içerir.

Ağ denetleyicisi tarafından yönetilen ağ geçidi için ayarlanan varsayılan sınırları geçersiz kılabilirsiniz . Ancak, sınırın daha yüksek bir sayının geçersiz kılınmış olması ağ denetleyicisinin performansını etkileyebilir.

Ağ geçidi sınırlarını geçersiz kılma

Varsayılan sınırları geçersiz kılmak için geçersiz kılma dizesini ağ denetleyicisi hizmetine ekleyin bağlantı dizesi ve VMM'de güncelleştirin.

• MaxVMNetworksSupported= ve ardından bu ağ geçidiyle kullanılabilecek VM ağlarının sayısı.
• MaxVPNConnectionsPerVMNetwork= ve ardından bu ağ geçidi ile VM ağı başına oluşturulabilecek VPN Connections sayısı.
• MaxVMSubnetsSupported= ve ardından bu ağ geçidiyle kullanılabilecek VM ağ alt ağlarının sayısı.
• MaxVPNConnectionsSupported= ve ardından bu ağ geçidiyle kullanılabilecek VPN Connections sayısı.

Örnek:

Ağ geçidiyle 100'e kadar kullanılabilecek en fazla VM ağı sayısını geçersiz kılmak için bağlantı dizesi aşağıdaki gibi güncelleştirin:

serverurl=https://NCCluster.contoso.com;servicename=NC_VMM_RTM; MaxVMNetworksSupported==100

Ağ geçidi yönetici rolünü yapılandırma

Ağ geçidi hizmeti dağıtıldığından, özellikleri yapılandırabilir ve ağ denetleyicisi hizmetiyle ilişkilendirebilirsiniz.

1. Yüklü ağ hizmetlerinin listesini görüntülemek için Doku>Ağ Hizmeti'ni seçin. Ağ denetleyicisi hizmeti >Özellikleri'ne sağ tıklayın.

2. Hizmetler sekmesini ve ardından Ağ Geçidi Yöneticisi Rolü'ne tıklayın.

3. Hizmet bilgileri altında İlişkili Hizmet alanını bulun ve Gözat'ı seçin. Daha önce oluşturduğunuz ağ geçidi hizmet örneğini ve ardından Tamam'ı seçin.

4. Ağ denetleyicisi tarafından ağ geçidi sanal makinelerine erişmek için kullanılacak Farklı Çalıştır hesabını seçin.

   Not

   Farklı Çalıştır hesabının ağ geçidi VM'lerinde Yönetici ayrıcalıkları olmalıdır.

5. GRE VIP alt ağ içinde, daha önce oluşturduğunuz VIP alt ağını seçin.

6. IPv4 desteğini etkinleştirmek için Genel IPv4 havuzunda SLB dağıtımı sırasında yapılandırdığınız havuzu seçin. Genel IPv4 adresi’nde, önceki havuzdan bir IP adresi girin ve aralıktaki ilk üç IP adresini seçmediğinizden emin olun.

7. IPv6 desteğini etkinleştirmek için Ağ Denetleyicisi Özellikleri>Hizmetleri'ndenIPv6'yı Etkinleştir onay kutusunu seçin, daha önce oluşturduğunuz IPv6 GRE VIP alt ağını seçin ve sırasıyla genel IPv6 havuzunu ve genel IPv6 adresini girin. Ayrıca, Ağ Geçidi VM'lerine atanacak IPv6 ön uç alt ağı'na tıklayın.

   

8. Ağ Geçidi Kapasitesi’nde kapasite ayarlarını yapılandırın.

   Ağ geçidi kapasitesi (Mb/sn) ağ geçidi VM’sinden beklenen normal TCP bant genişliğini belirtir. Bu parametreyi kullandığınız temel ağ hızına göre ayarlamanız gerekir.

   IPsec tünel bant genişliği, ağ geçidi kapasitesinin 3/20’si ile sınırlıdır. Yani ağ geçidi kapasitesi 1000 Mb/sn olarak ayarlandıysa, eşdeğer IPsec tünel kapasitesi 150 Mb/sn ile sınırlı olacaktır.

   Not

   Bant genişliği sınırı, gelen bant genişliğinin ve giden bant genişliğinin toplam değeridir.

   GRE ve L3 tünelleri için eşdeğer oranlar sırasıyla 1/5 ve 1/2'tir.

9. Hatalar için ayrılmış düğümler alanında yedekleme için ayrılmış düğüm sayısını yapılandırın.

10. Tek tek ağ geçidi VM'lerini yapılandırmak için her vm'yi seçin ve IPv4 ön uç alt akını seçin, yerel ASN'yi belirtin ve isteğe bağlı olarak BGP eşdüzey için eşleme cihazı bilgilerini ekleyin.

Not

GRE bağlantılarını kullanmayı planlıyorsanız ağ geçidi BGP eşlerini yapılandırmanız gerekir.

Dağıttığınız hizmet örneği artık ağ geçidi Yöneticisi rolüyle ilişkilidir. Bunun altında listelenen Ağ geçidi VM örneğini görmeniz gerekir.

Not

GRE bağlantılarını kullanmayı planlıyorsanız ağ geçidi BGP eşlerini yapılandırmanız gerekir.

Dağıttığınız hizmet örneği artık ağ geçidi Yöneticisi rolüyle ilişkilidir. Bunun altında listelenen Ağ geçidi VM örneğini görmeniz gerekir.

Dağıtımı doğrulama

Ağ geçidini dağıttıktan sonra, S2S GRE, S2S IPSec veya L3 bağlantı türlerini yapılandırabilir ve bunları doğrulayabilirsiniz. Daha fazla bilgi için aşağıdaki içeriklere bakın:

• Siteden siteye IPSec bağlantılarını oluşturma ve doğrulama
• Siteden siteye GRE bağlantılarını oluşturma ve doğrulama
• L3 bağlantılarını oluşturma ve doğrulama

Bağlantı türleri hakkında daha fazla bilgi için buna bakın.

PowerShell ile trafik seçicisini ayarlama

VMM PowerShell kullanarak trafik seçiciyi ayarlama yordamı aşağıdadır.

1. Aşağıdaki parametreleri kullanarak trafik seçicisini oluşturun.

   Not

   Kullanılan değerler yalnızca örnektir.

   $t= new-object Microsoft.VirtualManager.Remoting.TrafficSelector
   
   $t.Type=7 // IPV4=7, IPV6=8
   
   $t.ProtocolId=6 // TCP =6, reference: https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers
   
   $t.PortEnd=5090
   
   $t.PortStart=5080
   
   $t.IpAddressStart=10.100.101.10
   
   $t.IpAddressEnd=10.100.101.100
   

2. Add-SCVPNConnection veya Set-SCVPNConnection cmdlet’inin -LocalTrafficSelectors parametresini kullanarak yukarıdaki trafik seçicisini yapılandırın.

Ağ geçidini SDN dokusundan kaldırma

Ağ geçidini SDN dokusundan kaldırmak için bu adımları kullanın.