Configurer une passerelle RAS SDN dans l’infrastructure VMM
Cet article explique comment configurer une passerelle RAS SDN (Software Defined Networking) dans l’infrastructure System Center Virtual Machine Manager (VMM).
Une passerelle RAS SDN est un élément de chemin d’accès aux données dans SDN qui permet la connectivité de site à site entre deux systèmes autonomes. Plus précisément, une passerelle RAS permet une connectivité de site à site entre les réseaux locataires distants et votre centre de données à l’aide d’IPSec, d’encapsulation de routage générique (GRE) ou du transfert de couche 3. Plus d’informations
Remarque
VMM 2025 et 2022 prennent en charge la double pile pour la passerelle RAS.
Remarque
- À partir de VMM 2019 UR1, un type de réseau connecté est modifié en réseau connecté.
- VMM 2019 UR2 et versions ultérieures prend en charge IPv6.
Avant de commencer
Vérifiez les points suivants avant de commencer :
- Planification : Découvrez la planification d’un réseau défini par logiciel et passez en revue la topologie de planification dans ce document. Le diagramme montre un exemple de configuration à 4 nœuds. La configuration est hautement disponible avec trois nœuds de contrôleur de réseau (VM) et trois nœuds SLB/MUX. Il montre deux locataires avec un réseau virtuel divisé en deux sous-réseaux virtuels pour simuler un niveau web et une couche base de données. Les machines virtuelles d’infrastructure et de locataire peuvent être redistribuées sur n’importe quel hôte physique.
- Contrôleur de réseau : vous devez déployer le contrôleur de réseau avant de déployer la passerelle RAS.
- SLB : pour vous assurer que les dépendances sont gérées correctement, vous devez également déployer l’équilibrage de charge réseau avant de configurer la passerelle. Si un SLB et une passerelle sont configurés, vous pouvez utiliser et valider une connexion IPsec.
- Modèle de service : VMM utilise un modèle de service pour automatiser le déploiement de GW. Les modèles de service prennent en charge le déploiement à plusieurs nœuds sur les machines virtuelles de génération 1 et de génération 2.
Étapes du déploiement
Pour configurer une passerelle RAS, procédez comme suit :
Téléchargez le modèle de service : téléchargez le modèle de service dont vous avez besoin pour déployer le GW.
Créez le réseau logique VIP : créez un réseau logique d’adresse IP virtuelle GRE. Il a besoin d’un pool d’adresses IP pour les adresses IP virtuelles privées et d’affecter des adresses IP virtuelles aux points de terminaison GRE. Le réseau existe pour définir des adresses IP virtuelles affectées aux machines virtuelles de passerelle s’exécutant sur l’infrastructure SDN pour une connexion GRE de site à site.
Remarque
Pour activer la prise en charge du mode double pile lors de la création d’un réseau logique d’adresses IP virtuelles GRE, ajoutez un sous-réseau IPv6 au site réseau et créez un pool d’adresses IPv6. (applicable aux versions 2022 et ultérieures)
Importez le modèle de service : importez le modèle de service de passerelle RAS.
Déployez la passerelle : déployez une instance de service de passerelle et configurez ses propriétés.
Validez le déploiement : configurez GRE à site, IPSec ou L3 et validez le déploiement.
Télécharger le modèle de service
- Téléchargez le dossier SDN à partir du référentiel GitHub Microsoft SDN et copiez les modèles à partir de VMM>Templates>GW vers un chemin d’accès local sur le serveur VMM.
- Extrayez le contenu dans un dossier sur un ordinateur local. Vous les importerez ultérieurement dans la bibliothèque.
Le téléchargement contient deux modèles :
- Le modèle EdgeServiceTemplate_Generation 1 VM.xml consiste à déployer le service GW sur des machines virtuelles de génération 1.
- La EdgeServiceTemplate_Generation 2 VM.xml consiste à déployer le service GW sur les machines virtuelles de génération 2.
Les deux modèles ont un nombre par défaut de trois machines virtuelles, qui peuvent être modifiées dans le concepteur de modèles de service.
Créer le réseau logique d’adresses IP virtuelles GRE
- Dans la console VMM, exécutez l’Assistant Création d’un réseau logique. Entrez un nom, indiquez éventuellement une description, puis sélectionnez Suivant.
- Dans Paramètres, sélectionnez Un réseau connecté. Si vous le souhaitez, vous pouvez sélectionner Créer un réseau de machines virtuelles portant le même nom. Ce paramètre permet aux machines virtuelles d’accéder directement à ce réseau logique. Sélectionnez Géré par le contrôleur de réseau, puis sélectionnez Suivant.
- Pour VMM 2019 UR1 et versions ultérieures, dans Paramètres, sélectionnez Réseau connecté, sélectionnez Géré par le contrôleur de réseau, puis sélectionnez Suivant.
- Dans Paramètres, sélectionnez Réseau connecté, sélectionnez Géré par le contrôleur de réseau, puis sélectionnez Suivant.
Dans le site réseau, spécifiez les paramètres :
Voici les exemples de valeurs :
- Nom du réseau : adresse IP virtuelle GRE
- Sous-réseau : 31.30.30.0
- Masque : 24
- ID de réseau local virtuel sur la jonction : NA
- Passerelle : 31.30.30.1
- Dans Résumé, passez en revue les paramètres et terminez l’Assistant.
Pour utiliser IPv6, ajoutez à la fois le sous-réseau IPv4 et IPV6 au site réseau. Voici les exemples de valeurs :
- Nom du réseau : adresse IP virtuelle GRE
- Sous-réseau : FD4A :293D :184F :382C ::
- Masque : 64
- ID de réseau local virtuel sur la jonction : NA
- Passerelle : FD4A :293D :184F :382C ::1
Dans Résumé, passez en revue les paramètres et terminez l’Assistant.
Pour utiliser IPv4, ajoutez un sous-réseau IPv4 au site réseau et créez un pool d’adresses IPv4. Voici les exemples de valeurs :
- Nom du réseau : adresse IP virtuelle GRE
- Sous-réseau :
- Masque:
- ID de réseau local virtuel sur la jonction : NA
- Passerelle :
Pour utiliser IPv6, ajoutez des sous-réseaux IPv4 et IPV6 au site réseau et créez un pool d’adresses IPv6. Voici les exemples de valeurs :
- Nom du réseau : adresse IP virtuelle GRE
- Sous-réseau : FD4A :293D :184F :382C ::
- Masque : 64
- ID de réseau local virtuel sur la jonction : NA
- Passerelle : FD4A :293D :184F :382C ::1
Dans Résumé, passez en revue les paramètres et terminez l’Assistant.
Créer un pool d’adresses IP pour les adresses IP virtuelles GRE
Remarque
À partir de VMM 2019 UR1 et versions ultérieures, vous pouvez créer un pool d’adresses IP à l’aide de l’Assistant Création d’un réseau logique.
Remarque
Vous pouvez créer un pool d’adresses IP à l’aide de l’Assistant Création d’un réseau logique.
- Cliquez avec le bouton droit sur le réseau logique d’adresses IP virtuelles GRE >Créer un pool d’adresses IP.
- Entrez un nom et une description facultative pour le pool, puis vérifiez que le réseau IP virtuelle est sélectionné. Cliquez sur Suivant.
- Acceptez le site réseau par défaut et sélectionnez Suivant.
- Choisissez une adresse IP de début et de fin pour votre plage. Démarrez la plage sur la deuxième adresse de votre sous-réseau disponible. Par exemple, si votre sous-réseau disponible est de .1 à .254, démarrez la plage à .2.
- Dans la zone Adresses IP réservées aux adresses IP virtuelles de l’équilibreur de charge, entrez la plage d’adresses IP dans le sous-réseau. Cela doit correspondre à la plage que vous avez utilisée pour les adresses IP de début et de fin.
- Vous n’avez pas besoin de fournir des informations de passerelle, DNS ou WINS, car ce pool est utilisé pour allouer des adresses IP pour les adresses IP virtuelles via le contrôleur de réseau uniquement. Sélectionnez Suivant pour ignorer ces écrans.
- Dans Résumé, passez en revue les paramètres et terminez l’Assistant.
- Si vous avez créé un sous-réseau IPv6, créez un pool d’adresses IP virtuelles GRE IPv6 distinct.
- Choisissez une adresse IP de début et de fin pour votre plage. Démarrez la plage sur la deuxième adresse de votre sous-réseau disponible. Par exemple, si votre sous-réseau disponible est de .1 à .254, démarrez la plage à .2. Pour spécifier la plage d’adresses IP virtuelles, n’utilisez pas la forme abrégée d’adresse IPv6 ; Utilisez le format 2001 :db8:0:200:0:0:7 au lieu de 2001 :db8:0:200 ::7.
- Dans la zone Adresses IP réservées aux adresses IP virtuelles de l’équilibreur de charge, entrez la plage d’adresses IP dans le sous-réseau. Cela doit correspondre à la plage que vous avez utilisée pour les adresses IP de début et de fin.
- Vous n’avez pas besoin de fournir des informations de passerelle, DNS ou WINS, car ce pool est utilisé pour allouer des adresses IP pour les adresses IP virtuelles via le contrôleur de réseau uniquement. Sélectionnez Suivant pour ignorer ces écrans.
- Dans Résumé, passez en revue les paramètres et terminez l’Assistant.
Importer le modèle de service
- Sélectionnez Modèle d’importation de bibliothèque>.
- Accédez au dossier de votre modèle de service. Comme exemple, sélectionnez le fichier EdgeServiceTemplate Generation 2.xml.
- Mettez à jour les paramètres de votre environnement lors de l’importation du modèle de service.
Remarque
Les ressources de bibliothèque ont été importées pendant le déploiement du contrôleur de réseau.
- WinServer.vhdx : sélectionnez l’image de disque dur virtuel que vous avez préparée et importée précédemment pendant le déploiement du contrôleur de réseau.
- EdgeDeployment.CR : mappez à la ressource de bibliothèque EdgeDeployment.cr dans la bibliothèque VMM.
Dans la page Résumé , passez en revue les détails et sélectionnez Importer.
Remarque
Vous pouvez personnaliser le modèle de service. Plus d’informations
Déployer le service de passerelle
Pour activer IPv6, lors de l’intégration du service de passerelle, cochez la case Activer IPv6 et sélectionnez le sous-réseau d’adresses IP virtuelles GRE IPv6 que vous avez créé précédemment. Sélectionnez également le pool IPv6 public et indiquez l’adresse IPv6 publique.
Cet exemple utilise le modèle Génération 2.
Sélectionnez le modèle de service EdgeServiceTemplate Generation2.xml , puis sélectionnez Configurer le déploiement.
Entrez un nom, puis choisissez une destination pour l’instance de service. La destination doit être mappée à un groupe hôte qui contient les hôtes configurés précédemment pour le déploiement de passerelle.
Dans Paramètres réseau, mappez le réseau de gestion au réseau de machine virtuelle de gestion.
Remarque
La boîte de dialogue Déployer le service s’affiche une fois le mappage terminé. Il est normal que les instances de machine virtuelle soient initialement rouges. Sélectionnez Actualiser la préversion pour rechercher automatiquement les hôtes appropriés pour la machine virtuelle.
À gauche de la fenêtre Configurer le déploiement , configurez les paramètres suivants :
- AdminAccount. Obligatoire. Sélectionnez un compte d’identification qui sera utilisé en tant qu’administrateur local sur les machines virtuelles de passerelle.
- Réseau de gestion. Obligatoire. Choisissez le réseau de machines virtuelles de gestion que vous avez créé pour la gestion de l’hôte.
- Compte de gestion. Obligatoire. Sélectionnez un compte d’identification avec des autorisations pour ajouter la passerelle au domaine Active Directory associé au contrôleur de réseau. Il peut s’agir du même compte que celui utilisé pour MgmtDomainAccount lors du déploiement du contrôleur de réseau.
- Nom de domaine complet. Obligatoire. Nom de domaine complet pour le domaine Active Directory pour la passerelle.
Sélectionnez Déployer le service pour commencer le travail de déploiement de service.
Remarque
Les temps de déploiement varient en fonction de votre matériel, mais sont généralement compris entre 30 et 60 minutes. Si le déploiement de la passerelle échoue, supprimez l’instance de service ayant échoué dans Tous les services hôtes>avant de réessayer le déploiement.
Si vous n’utilisez pas de VHDX sous licence en volume (ou si la clé de produit n’est pas fournie à l’aide d’un fichier de réponse), le déploiement s’arrête sur la page Clé de produit pendant l’approvisionnement des machines virtuelles. Vous devez accéder manuellement au bureau de la machine virtuelle, puis entrer la clé ou l’ignorer.
Si vous souhaitez effectuer un scale-in ou effectuer un scale-out d’une instance SLB déployée, lisez ce blog.
Limites de la passerelle
Voici les limites par défaut pour la passerelle managée nc :
- MaxVMNetworksSupported= 50
- MaxVPNConnectionsPerVMNetwork= 10
- MaxVMSubnetsSupported= 550
- MaxVPNConnectionsSupported= 250
Remarque
Pour un réseau virtualisé SDNv2, un sous-réseau de routage interne est créé pour chaque réseau de machines virtuelles. La limite MaxVMSubnetsSupported inclut les sous-réseaux internes créés pour les réseaux de machines virtuelles.
Vous pouvez remplacer les limites par défaut définies pour la passerelle managée du contrôleur de réseau. Toutefois, la substitution de la limite à un nombre plus élevé peut avoir un impact sur les performances du contrôleur de réseau.
Remplacer les limites de passerelle
Pour remplacer les limites par défaut, ajoutez la chaîne de remplacement au service de contrôleur de réseau chaîne de connexion et mettez à jour dans VMM.
- MaxVMNetworksSupported= suivi du nombre de réseaux de machines virtuelles pouvant être utilisés avec cette passerelle.
- MaxVPNConnectionsPerVMNetwork= suivi du nombre de connexions VPN qui peuvent être créées par réseau de machines virtuelles avec cette passerelle.
- MaxVMSubnetsSupported= suivi du nombre de sous-réseaux de réseaux de machines virtuelles pouvant être utilisés avec cette passerelle.
- MaxVPNConnectionsSupported= suivi du nombre de connexions VPN pouvant être utilisées avec cette passerelle.
Exemple :
Pour remplacer le nombre maximal de réseaux de machines virtuelles qui peuvent être utilisés avec la passerelle vers 100, mettez à jour le chaîne de connexion comme suit :
serverurl=https://NCCluster.contoso.com;servicename=NC_VMM_RTM; MaxVMNetworksSupported==100
Configurer le rôle de gestionnaire de passerelle
Maintenant que le service de passerelle est déployé, vous pouvez configurer les propriétés et l’associer au service de contrôleur de réseau.
Sélectionnez Service réseau Fabric>pour afficher la liste des services réseau installés. Cliquez avec le bouton droit sur le service de contrôleur de réseau >Propriétés.
Sélectionnez l’onglet Services , puis sélectionnez le rôle Gestionnaire de passerelle.
Recherchez le champ Service associé sous Informations de service, puis sélectionnez Parcourir. Sélectionnez l’instance de service de passerelle que vous avez créée précédemment, puis sélectionnez OK.
Sélectionnez le compte d’identification qui sera utilisé par le contrôleur de réseau pour accéder aux machines virtuelles de passerelle.
Remarque
Le compte d’identification doit disposer de privilèges d’administrateur sur les machines virtuelles de passerelle.
Dans le sous-réseau d’adresses IP virtuelles GRE, sélectionnez le sous-réseau d’adresses IP virtuelles que vous avez créé précédemment.
- Dans le pool IPv4 public, sélectionnez le pool que vous avez configuré pendant le déploiement SLB. Dans l’adresse IPv4 publique, fournissez une adresse IP du pool précédent et veillez à ne pas sélectionner les trois adresses IP initiales de la plage.
Pour activer la prise en charge IPv4, dans le pool IPv4 public, sélectionnez le pool que vous avez configuré pendant le déploiement SLB. Dans l’adresse IPv4 publique, fournissez une adresse IP du pool précédent et veillez à ne pas sélectionner les trois adresses IP initiales de la plage.
Pour activer la prise en charge IPv6, à partir des services de propriétés>du contrôleur de réseau, cochez la case Activer IPv6, sélectionnez le sous-réseau d’adresses IP VIRTUELLE GRE IPv6 que vous avez créés précédemment et entrez respectivement le pool IPv6 public et l’adresse IPv6 publique. Sélectionnez également le sous-réseau frontal IPv6 qui sera affecté aux machines virtuelles de passerelle.
Dans La capacité de la passerelle, configurez les paramètres de capacité.
La capacité de passerelle (Mbits/s) indique la bande passante TCP normale attendue hors de la machine virtuelle de passerelle. Vous devez définir ce paramètre en fonction de la vitesse de réseau sous-jacente que vous utilisez.
La bande passante du tunnel IPsec est limitée à (3/20) de la capacité de passerelle. Autrement dit, si la capacité de passerelle est définie sur 1 000 Mbits/s, la capacité de tunnel IPsec équivalente est limitée à 150 Mbits/s.
Remarque
La limite de bande passante est la valeur totale de la bande passante entrante et de la bande passante sortante.
Les ratios équivalents pour les tunnels GRE et L3 sont respectivement 1/5 et 1/2.
Configurez le nombre de nœuds réservés pour la sauvegarde dans les nœuds pour les champs d’échecs réservés.
Pour configurer des machines virtuelles de passerelle individuelles, sélectionnez chaque machine virtuelle et sélectionnez le sous-réseau frontal IPv4, spécifiez l’ASN local et ajoutez éventuellement les informations d’appareil de peering pour l’homologue BGP.
Remarque
Vous devez configurer les homologues BGP de passerelle si vous envisagez d’utiliser des connexions GRE.
L’instance de service que vous avez déployée est désormais associée au rôle Gestionnaire de passerelle. Vous devez voir l’instance de machine virtuelle de passerelle répertoriée sous celle-ci.
Dans La capacité de la passerelle, configurez les paramètres de capacité.
La capacité de passerelle (Mbits/s) indique la bande passante TCP normale attendue hors de la machine virtuelle de passerelle. Vous devez définir ce paramètre en fonction de la vitesse de réseau sous-jacente que vous utilisez.
La bande passante du tunnel IPsec est limitée à (3/20) de la capacité de passerelle. Autrement dit, si la capacité de passerelle est définie sur 1 000 Mbits/s, la capacité de tunnel IPsec équivalente est limitée à 150 Mbits/s.
Remarque
La limite de bande passante est la valeur totale de la bande passante entrante et de la bande passante sortante.
Les rapports équivalents pour les tunnels GRE et L3 sont 1/5 et 1/2, respectivement.
Configurez le nombre de nœuds réservés pour la sauvegarde dans les nœuds pour les champs d’échecs réservés.
Pour configurer des machines virtuelles de passerelle individuelles, sélectionnez chaque machine virtuelle et sélectionnez le sous-réseau frontal IPv4, spécifiez l’ASN local et ajoutez éventuellement les informations d’appareil de peering pour l’homologue BGP.
Remarque
Vous devez configurer les homologues BGP de passerelle si vous envisagez d’utiliser des connexions GRE.
L’instance de service que vous avez déployée est désormais associée au rôle Gestionnaire de passerelle. Vous devez voir l’instance de machine virtuelle de passerelle répertoriée sous celle-ci.
Valider le déploiement
Après avoir déployé la passerelle, vous pouvez configurer les types de connexion S2S GRE, S2S IPSec ou L3, et les valider. Pour plus d’informations, consultez le contenu suivant :
- Créer et valider des connexions IPSec de site à site
- Créer et valider des connexions GRE de site à site
- Créer et valider des connexions L3
Pour plus d’informations sur les types de connexion, consultez ceci.
Configurer le sélecteur de trafic à partir de PowerShell
Voici la procédure permettant de configurer le sélecteur de trafic à l’aide de VMM PowerShell.
Créez le sélecteur de trafic à l’aide des paramètres suivants.
Remarque
Les valeurs utilisées sont des exemples uniquement.
$t= new-object Microsoft.VirtualManager.Remoting.TrafficSelector $t.Type=7 // IPV4=7, IPV6=8 $t.ProtocolId=6 // TCP =6, reference: https://en.wikipedia.org/wiki/List_of_IP_protocol_numbers $t.PortEnd=5090 $t.PortStart=5080 $t.IpAddressStart=10.100.101.10 $t.IpAddressEnd=10.100.101.100
Configurez le sélecteur de trafic ci-dessus à l’aide du paramètre -LocalTrafficSelectors de Add-SCVPNConnection ou Set-SCVPNConnection.
Supprimer la passerelle de l’infrastructure SDN
Procédez comme suit pour supprimer la passerelle de l’infrastructure SDN.