6.2 Bepaal scenario’s en vereisten voor het implementeren van SDN

Het gebruik van SDN omzeilt de beperkingen die worden opgelegd door het fysieke netwerk en implementeert een software-abstractielaag waarmee u uw netwerk dynamisch kunt beheren. Het gebruik van SDN stelt u in staat een cloudgebaseerde netwerkinfrastructuur te implementeren, beperkingen van uw on-premises infrastructuur te overwinnen, en biedt de volgende voordelen:

  • Efficient – Abstracte hardwarecomponenten in uw netwerkinfrastructuur door gebruik te maken van softwarecomponenten.
  • Flexibel – Verschuif verkeer van uw on-premises infrastructuur naar uw private of publieke cloudinfrastructuur.
  • Schaalbaar – Breid, indien nodig, uit naar de cloud, met veel bredere limieten dan uw on-premises infrastructuur kan ondersteunen.

Wanneer u SDN implementeert, doet u:

  • Virtualiseer uw netwerk – Verbreek de directe verbinding tussen het onderliggende fysieke netwerk en de apps en virtuele servers die erop draaien. U moet uw netwerkbeheer virtualiseren door virtuele abstracties te maken voor fysieke netwerkelementen, inclusief poorten, switches en zelfs IP-adressen.
  • Definieer beleidsregels – Definieer deze beleidsregels in uw netwerkbeheersysteem en pas ze toe op de fysieke laag, zodat u de verkeersstroom over zowel de fysieke als de virtuele netwerken kunt beheren.
  • Beheer de gevirtualiseerde netwerkinfrastructuur – Bied de tools om de virtuele netwerkobjecten en het beleid te configureren.

Microsoft implementeert SDN in Hyper-V in Windows Server 2012 en nieuwer door de volgende componenten te leveren:

  • Hyper-V Network Virtualization (HNV) – Hiermee kunt u het onderliggende fysieke netwerk abstraheren van uw apps en workloads met virtuele netwerken.
  • Hyper-V Virtual Switch – Hiermee kunt u virtuele machines verbinden met zowel virtuele netwerken als fysieke netwerken.
  • RRAS Multitenant Gateway– Hiermee kunt u netwerkgrenzen uitbreiden naar de cloud, zodat u een on-demand, hybride netwerkinfrastructuur kunt leveren.
  • NIC Teaming – Hiermee kunt u meerdere netwerkadapters als een team configureren voor bandbreedtedistributie en failover.
  • Netwerkcontroller – Netwerkcontroller is een nieuwe functie in Windows Server 2016 en biedt gecentraliseerd beheer van zowel fysieke als virtuele netwerken.

U kunt SDN integreren met Microsoft System Center om SDN uit te breiden. Microsoft System Center biedt een aantal SDN-technologieën in de volgende onderdelen:

  • System Center Operations Manager – Hiermee kunt u uw infrastructuur bewaken.
  • System Center Virtual Machine Manager – Stelt u in staat virtuele netwerken in te richten en te beheren en zorgt voor gecentraliseerd beheer van virtueel netwerkbeleid.
  • Windows Server Gateway – Een virtuele softwarerouter en gateway die verkeer tussen uw fysieke en virtuele netwerken kan routeren.

6.2.1 Bepaal implementatiescenario’s en netwerkvereisten voor het implementeren van SDN

Voordat u SDN kunt implementeren, moet u ervoor zorgen dat uw netwerkinfrastructuur aan de volgende vereisten voldoet. Deze vereisten vallen in twee brede categorieën:

  • Fysiek netwerk – U moet toegang hebben tot al uw fysieke netwerkcomponenten, waaronder:
    • Virtuele LAN’s (VLAN’s)
    • Routers
    • Border Gateway Protocol (BGP)-apparaten
    • DCB met verbeterde transmissieselectie bij gebruik van RDMA-technologie
    • DCB met op prioriteit gebaseerde Flow Control bij gebruik van een RDMA-technologie die is gebaseerd op RDMA over Converged Ethernet (RoCE)
  • Fysieke compute-hosts – Deze computers worden geïnstalleerd met de Hyper-V-rol en hosten de SDN-infrastructuur en virtuele tenant-machines en moeten:
    • Laat Windows Server 2016 installeren. Zorg dat de Hyper-V-rol is ingeschakeld.
    • Laat een externe Hyper-V Virtual Switch maken met ten minste één fysieke adapter.
    • Bereikbaar zijn met een beheer-IP-adres dat is toegewezen aan de virtuele beheerhost-NIC (vNIC).

6.2.1.1 Typische SDN-implementatie

Nadat u heeft geverifieerd dat uw infrastructuur voldoet aan de vereisten voor SDN, kunt u uw SDN-implementatie plannen. De componenten van een typische SDN-implementatie worden weergegeven in de volgende afbeelding.

Een typische SDN-implementatie bestaat uit de volgende componenten:

  • Logische netwerken voor beheer en HNV Provider – Fysieke compute-hosts moeten toegang hebben
  • naar het logische beheernetwerk en het logische netwerk van de HNV-provider. Bijgevolg moet aan elke fysieke computerhost ten minste één IP-adres van het logische beheernetwerk worden toegewezen; u kunt een statisch IP-adres toewijzen of DHCP gebruiken.
  • Logische netwerken voor gateways en de softwareload balancer – U moet logische netwerken maken en inrichten voor gateway- en Software Load Balancing (SLB)-gebruik. Deze logische netwerken omvatten:
    • Doorvoer – Gebruikt door SLB-multiplexer (MUX) en RAS Gateway om BGP-peeringinformatie en Noord/Zuid (extern-intern) tenantverkeer uit te wisselen.
    • Openbaar virtueel IP-adres (VIP) – Moet IP-subnet-prefixen hebben die via internet kunnen worden gerouteerd buiten de cloudomgeving en zijn de front-end IP-adressen die externe clients gebruiken om toegang te krijgen tot uw virtuele netwerken.
    • Private VIP – Hoeft niet routeerbaar te zijn buiten de cloud. Gebruikt voor VIP’s die alleen toegankelijk zijn via interne cloudclients, zoals Generic Route Encapsulation (GRE)-gateways.
    • GRE VIP – Wordt gebruikt om VIP’s te definiëren die zijn toegewezen aan virtuele gatewaymachines die op uw SDN-fabric draaien voor het server-naar-server (S2S) GRE-verbindingstype.
  • Logische netwerken vereist voor op RDMA gebaseerde opslag – U moet een VLAN en een subnet definiëren voor elke fysieke adapter in uw reken- en opslaghosts als u op RDMA gebaseerde opslag gebruikt.
  • Routeringsinfrastructuur – Routeringsinformatie voor de VIP-subnetten wordt in het fysieke netwerk geadverteerd met behulp van interne BGP-peering. Daarom moet u een BGP-peer maken op de router die uw SDN-infrastructuur gebruikt om routes te ontvangen voor de logische VIP-netwerken die worden geadverteerd door de SLB MUX’s en HNV-gateways.
  • Standaardgateways – U hoeft slechts één standaardgateway te configureren op de fysieke compute-hosts en virtuele gatewaymachines; dit is meestal de standaardgateway op de adapter die wordt gebruikt om verbinding te maken met internet.
  • Netwerkhardware – Uw netwerkhardware heeft een aantal vereisten, waaronder die voor netwerkinterfacekaarten, switches, linkbeheer, beschikbaarheid en redundantie en monitoring.

Examentip

Compute-hosts gebruiken het logische beheernetwerk om met elkaar te communiceren.

6.2.2 Bepaal vereisten en scenario’s voor het implementeren van HNV

U kunt netwerkvirtualisatie gebruiken om netwerkverkeer te beheren door meerdere virtuele netwerken te maken, logisch geïsoleerd, op hetzelfde fysieke netwerk, zoals weergegeven in de volgende afbeelding.

Omdat netwerkvirtualisatie het fysieke netwerk abstraheert van het netwerkverkeer dat het vervoert, biedt het de volgende voordelen:

  • Compatibiliteit – Voorkomt de noodzaak om uw fysieke netwerk opnieuw te ontwerpen om netwerkvirtualisatie te implementeren.
  • Flexibel IP-adresgebruik – Isoleert virtuele netwerken, waardoor hergebruik van IP-adressen mogelijk wordt. Uw virtuele machines in verschillende virtuele netwerken kunnen dezelfde IP-adresruimte gebruiken.
  • Flexibele plaatsing van virtuele machines – Scheidt de IP-adressen die aan virtuele machines zijn toegewezen van de IP-adressen die op uw fysieke netwerk worden gebruikt, zodat u uw virtuele machines op elke Hyper-V-host kunt implementeren, ongeacht fysieke netwerkbeperkingen.
  • Netwerkisolatie zonder VLAN’s – Stelt u in staat isolatie van netwerkverkeer te definiëren zonder dat VLAN’s nodig zijn of dat u uw fysieke netwerkswitches opnieuw hoeft te configureren.
  • Livemigratie tussen subnetten – Hiermee kunt u virtuele machines verplaatsen tussen twee Hyper-V-hosts in verschillende subnetten met behulp van livemigratie zonder dat u het IP-adres van de virtuele machine hoeft te wijzigen.

In Windows Server 2016 ondersteunt de Hyper-V Virtual Switch netwerkvirtualisatie. Windows Server 2016 Hyper-V maakt gebruik van Network Virtualization Generic Route Encapsulation (NVGRE) of Virtual Extensible LAN (VXLAN). HNV met VXLAN is nieuw in Windows Server 2016.

6.2.2.1 HNV implementeren met NVGRE-inkapseling

Als u netwerkvirtualisatie implementeert met NVGRE en een virtuele machine via een netwerk communiceert, wordt NVGRE gebruikt om de pakketten in te kapselen. Om NVGRE te configureren, begint u door elke virtuele netwerkadapter te koppelen aan twee IP-adressen: het klantadres (CA) en het provideradres (PA), zoals weergegeven in de volgende afbeelding.

  • CA – Gebruikt door de virtuele machine en geconfigureerd op de virtuele netwerkadapter in het gastbesturingssysteem van de virtuele machine.
  • PA – Toegewezen door HNV en gebruikt door de Hyper-V-host.

Laten we het voorbeeld bespreken, weergegeven in figuur 6.17. Je ziet dat aan elke Hyper-V-host één PA-adres is toegewezen: Host1: 192.168.2.22 en Host2: 192.168.5.55. Deze PA’s worden gebruikt voor het tunnelen van NVGRE-verkeer tussen de fysieke subnetten: 192.168.2.0/24 en 192.168.5.0/24. Deze tunneling vindt plaats op het fysieke netwerk.

Elke virtuele machine krijgt een CA-adres toegewezen, bijvoorbeeld 10.1.1.11 of 10.1.1.12. Deze adressen zijn uniek op elk gevirtualiseerd netwerk. Het verkeer tussen hen wordt getunneld met behulp van de NVGRE-tunnel tussen de hosts. Om te zorgen voor scheiding van het verkeer tussen de twee gevirtualiseerde netwerken, is een GRE-sleutel opgenomen in de GRE-headers op de getunnelde pakketten om een uniek virtueel subnet-ID te bieden, in dit geval 5001 en 6001, voor elk gevirtualiseerd netwerk.

Als gevolg van deze configuratie hebt u twee gevirtualiseerde netwerken, rood en blauw, die van elkaar zijn geïsoleerd als afzonderlijke IP-netwerken, maar zijn uitgebreid over twee fysieke Hyper-V-hosts, die zich elk op een ander fysiek subnet bevinden.

6.2.2.2 HNV instellen met NVGRE

Om HNV met NVGRE in te stellen, moet u de volgende stappen op hoog niveau uitvoeren:

  • PA’s definiëren voor elke Hyper-V-host
  • Definieer CA’s voor elke virtuele machine
  • Configureer virtuele subnet-ID’s voor elk subnet dat u wilt virtualiseren

U kunt System Center VMM of Windows PowerShell gebruiken om deze taken uit te voeren. Voer de volgende taken uit om bijvoorbeeld het blauwe netwerk, weergegeven in Afbeelding 6-17, te configureren met Windows PowerShell:

  1. Schakel de Windows-netwerkvirtualisatiebinding in op de fysieke NIC op elke Hyper-V-host.
    Enable-NetAdapterBinding Ethernet -ComponentID ms_netwnv
  2. Configureer Blue subnet-locator en routerecords op elke Hyper-V-host.
    New-NetVirtualisatieLookupRecord -CustomerAddress “10.1.1.12” -ProviderAddress “192.168.2.22” -VirtualSubnetID “6001” -MACAddress “101010101105” -Rule “TranslationMethodEncap”
    New-NetVirtualisatieLookupRecord -CustomerAddress “10.1.1.12” -ProviderAddress “192.168.5.55” -VirtualSubnetID “6001” -MACAddress “101010101107” -Rule “TranslationMethodEncap”
    New-NetVirtualisatieCustomerRoute -RoutingDomainID “{11111111-2222-3333-4444-000000000000}” -VirtualSubnetID “6001” -DestinationPrefix “10.1.1.0/24” -NextHop “0.0.0.0” -Metric 255
  3. Configureer de PA- en routerecords op Hyper-V host1.
    $NIC = Get-NetAdapter Ethernet
    New-NetVirtualisatieProviderAddress -InterfaceIndex $NIC.InterfaceIndex -ProviderAddress “192.168.2.22” -PrefixLength 2
    New-NetVirtualisatieProviderRoute -InterfaceIndex $NIC.InterfaceIndex -DestinationPrefix “0.0.0.0/0” -NextHop “192.168.2.1”
  4. 4. Configureer de PA- en routerecords op Hyper-V host2.
    $NIC = Get-NetAdapter Ethernet
    New-NetVirtualisatieProviderAddress -InterfaceIndex $NIC.InterfaceIndex -ProviderAddress “192.168.5.55” -PrefixLength 24
    New-NetVirtualisatieProviderRoute -InterfaceIndex $NIC.InterfaceIndex -DestinationPrefix “0.0.0.0/0” -NextHop “192.168.5.1”
  5. Configureer de virtuele subnet-ID op de Hyper-V-netwerkswitchpoorten voor elke Blue virtuele machine op elke Hyper-V-host.
    Get-VMNetworkAdapter -VMName BlueVM1 | where {$_.MacAddress -eq “101010101105”} | Set-VMNetworkAdapter -VirtualSubnetID 6001
    Get-VMNetworkAdapter -VMName BlueVM2 | where {$_.MacAddress -eq “101010101107”} | Set-VMNetworkAdapter -VirtualSubnetID 6001

Herhaal dit proces vervolgens voor het rode netwerk.

6.2.2.3 HNV met VXLAN-inkapseling

HNV via VXLAN is de standaardconfiguratie in Windows Server 2016. VXLAN gebruikt UDP via poort 4789 als netwerktransport. Om de tunnel te maken, wordt in het UDP-datagram na de header een VXLAN-header toegevoegd om netwerkpakketten correct te kunnen routeren. In Windows Server 2016 moet u de functie Netwerkcontroller implementeren om VXLAN voor HNV te implementeren.

6.2.3 Netwerkcontroller implementeren

Met Network Controller, een nieuwe functie in Windows Server 2016, kun je zowel je virtuele als fysieke netwerkinfrastructuur beheren en configureren, zoals weergegeven in de volgende afbeelding.

U kunt ook de configuratie van uw netwerkinfrastructuur automatiseren. U kunt Network Controller gebruiken om de volgende fysieke en virtuele netwerkinfrastructuur te beheren:

  • Hyper-V virtuele machines en virtuele switches
  • Datacenter Firewall
  • RAS Multitenant-gateways, virtuele gateways en gatewaypools
  • Load balancers

Netwerkcontroller is een Windows Server 2016-serverrol die twee programmeerinterfaces (API’s) biedt:

  • Northbound – Hiermee kunt u netwerkinformatie van Network Controller verzamelen waarmee u uw netwerk kunt bewaken en configureren. Met de Northbound API kunt u nieuwe apparaten op het netwerk configureren, bewaken, problemen oplossen en implementeren met behulp van:
    • Windows PowerShell
    • API voor representatieve statusoverdracht (REST)
    • System Center VMM of System Center Operations Manager of vergelijkbare niet-Microsoft beheer-UI
  • Southbound – Network Controller gebruikt de Southbound API om te communiceren met netwerkapparaten, services en componenten. Met de Southbound API kan Network Controller:
    • Apparaten op uw netwerk ontdekken. Configuratie van services detecteren.
    • Netwerkgegevens en statistieken verzamelen.
    • Informatie naar uw netwerkinfrastructuur sturen, zoals configuratiewijzigingen die u heeft aangebracht.

6.2.3.1 Vereisten voor implementatie

U kunt Network Controller implementeren op fysieke computers of virtuele machines, of beide. Aangezien Network Controller een serverrol van Windows Server 2016 is, zijn de vereisten niet ingewikkeld. Ze zijn dat je moet:

  • Netwerkcontroller implementeren op Windows Server 2016 Datacenter-editie.
  • Installeer uw Network Controller-beheerclient op een computer of virtuele machine met Windows 10, Windows 8.1 of Windows 8.
  • Configureer dynamische DNS-registratie om registratie van de vereiste DNS-records van de netwerkcontroller in te schakelen.
  • In een AD DS-domeinomgeving:
  • Maak een beveiligingsgroep voor alle gebruikers die toestemming nodig hebben om de netwerkcontroller te configureren.
  • Maak een beveiligingsgroep voor alle gebruikers die toestemming nodig hebben om uw netwerk te beheren met Network Controller.
  • Configureer op certificaten gebaseerde verificatie voor implementaties van netwerkcontrollers in niet-domeingebonden omgevingen.

6.2.3.2 Netwerkcontroller implementeren

Om Network Controller te implementeren, moet u de volgende stappen op hoog niveau uitvoeren:

  1. Installeer de serverrol Netwerkcontroller Gebruik Windows PowerShell Install-Windows-Feature -Name NetworkController -IncludeManagementTools-opdracht, of Server Manager, zoals weergegeven in de volgende afbeelding.
  2. Configureer het netwerkcontrollercluster Voer hiervoor de volgende stappen uit:
    1. Maak een knooppuntobject. U moet een knooppuntobject maken voor elke computer of virtuele machine die lid is van het netwerkcontrollercluster. Met de volgende opdracht wordt een netwerkcontrollerknooppuntobject gemaakt met de naam NCNode1. De FQDN van de computer is NCNode1.Adatum.com en Ethernet is de naam van de interface op de computer die naar REST-verzoeken luistert.
      New-NetworkControllerNodeObject -Name “NCNode1” -Server “NCNode1.Adatum.com” -FaultDomain “fd:/rack1/host1” -RestInterface “Ethernet”
    2. Configureer het cluster. Nadat u de node(s) voor het cluster hebt gemaakt, moet u het cluster configureren. Met de volgende opdrachten wordt een netwerkcontrollercluster geïnstalleerd.
      $NodeObject = New-NetworkControllerNodeObject -Name “NCNode1” -Server “NCNode1.Adatum.com” -FaultDomain “fd:/rack1/host1” -RestInterface “Ethernet” Install-NetworkControllerCluster -Node $NodeObject -ClusterAuthentication Kerberos
  3. Configureer netwerkcontroller. De eerste opdracht maakt een netwerkcontroller-knooppuntobject en slaat dit vervolgens op in de $NodeObject-variabele. De tweede opdracht haalt een certificaat op met de naam NCEncryption en slaat dit vervolgens op in de variabele $Certificate. De derde opdracht maakt een clusterknooppunt. De vierde en laatste opdracht implementeert de netwerkcontroller:
    $NodeObject = New-NetworkControllerNodeObject -Name “NCNode01” -Server “NCNode1” -FaultDomain “fd:/rack1/host1” -RestInterface Ethernet
    $Certificate = Get-Item Cert:\LocalMachine\My | Get-ChildItem | where {$_.Subject -imatch “NCEncryption” }
    Install-NetworkControllerCluster -Node $NodeObject -ClusterAuthentication Geen Install-NetworkController -Node $NodeObject -ClientAuthentication Geen -RestIpAddress “10.0.0.1/24” -ServerCertificate $Certificate

Examentip

U kunt netwerkcontroller implementeren in zowel AD DS-domeinen als niet-domeinomgevingen. Als u implementeert in een AD DS-domeinomgeving, verifieert de netwerkcontroller gebruikers en apparaten met Kerberos. Als u implementeert in een niet-domeinomgeving, moet u digitale certificaten implementeren om voor verificatie te zorgen.

Nadat u Network Controller hebt geïmplementeerd en geconfigureerd, kunt u deze gebruiken om zowel virtuele als fysieke netwerkapparaten en -services te configureren en te beheren. Dit zijn:

  • SLB-beheer – Configureer meerdere servers om dezelfde workload te hosten voor hoge beschikbaarheid en schaalbaarheid.
  • RAS-gatewaybeheer – Lever gatewayservices met Hyper-V-hosts en virtuele machines die lid zijn van een RAS-gatewaypool.
  • Firewallbeheer – Configureer en beheer firewalltoegangscontroleregels voor uw virtuele machines.
  • Virtueel netwerkbeheer – Implementeer en configureer HNV. Dit omvat:
    • Hyper-V virtuele switch
    • Virtuele netwerkadapters op afzonderlijke virtuele machines
    • Beleid voor virtuele netwerken

6.2.3.3 Software Load Balancing

U kunt SLB in SDN gebruiken om uw netwerkverkeer over uw beschikbare netwerkbronnen te verdelen. In Windows Server 2016 biedt SLB de volgende functies:

  • Layer 4 load balancing voor zowel Noord-Zuid als Oost-West TCP en UDP-verkeer. Load balancing van openbaar en intern netwerkverkeer.
  • Ondersteuning voor dynamische IP-adressen (DIP’s) op virtuele Hyper-V-netwerken en VLAN’s. Ondersteuning voor gezondheidssonde.
  • Wijst virtuele IP-adressen (VIP’s) toe aan DIP’s. In dit scenario:
    • VIP’s zijn enkele IP-adressen die worden toegewezen aan een pool van beschikbare virtuele machines; het zijn IP-adressen die op internet beschikbaar zijn voor tenants (en tenantklanten) om verbinding te maken met tenantbronnen in de cloud.
    • DIP’s worden toegewezen aan tenantbronnen binnen uw cloudinfrastructuur en zijn de IP-adressen van de virtuele machines die lid zijn van een pool met taakverdeling.

6.2.3.4 SLB-infrastructuur

De SLB-infrastructuur bestaat uit de volgende componenten, zoals weergegeven in figuur 6.20.

  • VMM – Wordt gebruikt om de netwerkcontroller te configureren, inclusief Health Monitor en SLB Manager. U kunt ook Windows PowerShell gebruiken om de netwerkcontroller te beheren.
  • Netwerkcontroller – Voert de volgende functies uit in SLB:
    • Verwerkt SLB-opdrachten die binnenkomen vanuit de Northbound API van VMM, Windows PowerShell of een andere beheer-app.
    • Berekent beleid voor distributie naar Hyper-V-hosts en SLB MUX’s. Biedt de gezondheidsstatus van de SLB-infrastructuur.
    • Biedt elke MUX met elke VIP.
    • Configureert en regelt het gedrag van de VIP naar DIP-mapping in de MUX.

Examentip

U definieert beleid voor taakverdeling met behulp van Network Controller, en de MUX wijst VIP’s toe aan de juiste DIP’s met dat beleid.

  • SLB MUX – Brengt netwerkinkomend internetverkeer in kaart en herschrijft het, zodat het bij een individuele DIP aankomt. Binnen de SLB-infrastructuur bestaat de MUX uit een of meer virtuele machines en:
    • Houdt de VIP’s vast.
    • Gebruikt BGP om elk van de VIP’s aan routers te adverteren.
  • Hosts waarop Hyper-V wordt uitgevoerd – U gebruikt SLB met computers waarop Windows Server 2016 en Hyper-V worden uitgevoerd.
  • SLB Host Agent – Implementeer de SLB Host Agent op elke Hyper-V-hostcomputer. De SLB-hostagent:
    • Luistert naar SLB-beleidsupdates van netwerkcontroller.
    • Programmeert regels voor SLB in de door Software Defined Networking ingeschakelde virtuele Hyper-V-switches die op de lokale computer zijn geconfigureerd.

Opmerking Virtual Switch en SLB-compatibiliteit

Om een virtuele switch compatibel te maken met SLB, moet u Hyper-V Virtual Switch Manager of Windows PowerShell-opdrachten gebruiken om de switch te maken. Dan moet u Virtual Filtering Platform inschakelen voor de virtuele switch.

Examentip

U kunt de SLB Host Agent installeren op alle versies van Windows Server 2016 die de Hyper-V-rol ondersteunen, inclusief Nano Server.

  • SDN-compatibele Hyper-V virtuele switch – De virtuele switch voert de volgende acties uit voor SLB:
    • Verwerkt het gegevenspad voor SLB.
    • Ontvangt inkomend netwerkverkeer van de MUX.
    • Omzeilt de MUX voor uitgaand netwerkverkeer en stuurt het naar de router met behulp van directe serverretour.

Examentip

U kunt de virtuele switch uitvoeren op Nano Server-instanties van Hyper-V.

  • BGP-compatibele router – Hiermee kunnen routers:
    • Routeer inkomend verkeer naar de MUX met behulp van gelijke kosten multi-path routing (ECMP). Gebruik voor uitgaand netwerkverkeer de route die door de host is verstrekt.
    • Luister naar route-updates voor VIP’s via de SLB MUX.
    • Verwijder SLB MUX’s uit de SLB-rotatie als Keep Alive mislukt.

6.2.3.5 Windows Server-gateways implementeren

Als u netwerkvirtualisatie implementeert met behulp van de Hyper-V Virtual Switch, werkt de switch als een router tussen de verschillende Hyper-V-hosts in uw netwerk; netwerkvirtualisatiebeleid bepaalt hoe verkeer tussen die hosts wordt gerouteerd. Maar een virtuele switch kan niet naar externe netwerken routeren wanneer u netwerkvirtualisatie gebruikt.

Als u geen netwerkvirtualisatie gebruikt, kunt u uw virtuele machine(s) aansluiten op een externe switch waardoor de virtuele machine(s) verbinding kunnen maken met dezelfde netwerken als de Hyper-V-host.

Maar wanneer u netwerkvirtualisatie implementeert, heeft u een aantal aanvullende overwegingen:

  • U kunt meerdere virtuele machines op een Hyper-V-host laten draaien die allemaal dezelfde IP-adressen gebruiken.
  • U kunt de virtuele machine naar elke host in uw netwerk verplaatsen zonder de netwerkverbinding te onderbreken.

Om deze overwegingen aan te pakken, moet u een oplossing implementeren die multitenant-bewust is om uw gevirtualiseerde netwerken met internet te verbinden, zodat verkeer naar externe netwerken correct wordt omgeleid naar de interne adressen die de virtuele machines gebruiken. De RAS Gateway in Windows Server 2016 biedt een oplossing voor deze problemen.

Examentip

RAS Gateway wordt in System Center Windows Server Gateway genoemd.

6.2.3.6 Overzicht van RAS Gateway

RAS Gateway is een op software gebaseerde, multitenant, BGP-compatibele router en biedt de volgende functies:

  • Site-to-site VPN – Verbindt twee netwerken op verschillende locaties via internet met een site-to-site VPN-verbinding.
  • Point-to-site VPN – Stelt medewerkers in staat om vanaf externe locaties verbinding te maken met het netwerk van uw organisatie.
  • GRE-tunneling – Maakt connectiviteit mogelijk tussen externe en virtuele tenant-netwerken.
  • Dynamische routering met BGP – Leert automatisch routes tussen sites die zijn verbonden via site-to-site VPN-verbindingen.

6.2.3.7 Scenario’s voor gebruik

U kunt RAS Gateway in een aantal verschillende configuraties implementeren:

  • Multitenant-bewuste VPN-gateway – Geconfigureerd als een VPN-gateway die op de hoogte is van de virtuele netwerken die zijn geïmplementeerd op de Hyper-V-hosts. Hoewel de RAS Gateway werkt zoals elke andere VPN-gateway, is het belangrijkste verschil dat deze multitenant-bewust is. Dit betekent dat u meerdere virtuele netwerken met overlappende adresruimten op dezelfde virtuele infrastructuur kunt hebben. Door RAS Gateway op deze manier te implementeren, kunt u verbinding maken met de RAS Gateway door gebruik te maken van:
    • Een site-to-site VPN vanaf een externe locatie
    • Externe VPN-toegang tot de RAS-gateway
  • Multitenant-aware Network Address Translation (NAT) gateway voor internettoegang – Biedt virtuele machines op virtuele netwerken toegang tot internet. U configureert de RAS Gateway als een NAT-apparaat. In deze configuratie kunnen alle virtuele netwerken achter de RAS-gateway verbinding maken met internet, zelfs als ze overlappende adresruimten gebruiken, omdat de RAS-gateway multitenant-bewust is.
  • Doorstuurgateway voor interne fysieke netwerktoegang – Biedt toegang tot interne netwerkbronnen op fysieke netwerken. Als u bijvoorbeeld servers hebt die op fysieke hosts zijn geïmplementeerd en u RAS Gateway configureert als een doorstuurgateway, kunnen computers op de virtuele netwerken verbinding maken met die fysieke hosts.

6.2.3.8 Netwerkcontroller met RAS-gateway

Als u Network Controller gebruikt voor het beheren van Hyper-V-hosts en virtuele machines die lid zijn van een RAS Gateway-pool, kunt u RAS Gateway-services aan uw tenants leveren. In dit scenario gebruikt u Network Controller automatisch om virtuele machines met RAS Gateway te implementeren om de volgende functies te ondersteunen:

  • Site-to-site VPN-gatewayconnectiviteit met behulp van Internet Protocol-beveiliging (IPsec)
  • Site-to-site VPN-gatewayconnectiviteit met GRE
  • Point-to-site VPN-gatewayconnectiviteit
  • Laag 3 doorsturen
  • BGP-routering

6.2.3.9 Gedistribueerd firewallbeleid

De Datacenter Firewall in Windows Server 2016 kan u helpen bij het installeren en configureren van firewallbeleid dat uw virtuele netwerken kan helpen beschermen tegen ongewenst netwerkverkeer. U beheert het Datacenter Firewall-beleid met behulp van Network Controller Northbound API’s, zoals weergegeven in de volgende afbeelding.

6.2.3.10 Voordelen voor Cloud Provider

Voor cloudserviceproviders biedt de Datacenter Firewall de volgende voordelen:

  • Een op software gebaseerde firewalloplossing die schaalbaar en beheersbaar is.
  • Bescherming voor virtuele tenant-machines, ongeacht het besturingssysteem van de tenant-gast.
  • De mogelijkheid om virtuele tenant-machines eenvoudig naar verschillende fysieke hosts te verplaatsen zonder de configuratie van de tenant-firewall te onderbreken, omdat:
    • U een vSwitch-poort implementeert als hostagent-firewall.
    • Beleid wordt toegewezen aan vSwitch-hostagent-firewalls op virtuele machines van tenants.
    • Ongeacht de host die de virtuele machine uitvoert, worden firewallregels geconfigureerd in elke vSwitch-poort.

6.2.3.11 Voordelen voor tenants

Voor tenants biedt de Datacenter Firewall de mogelijkheid om:

  • Firewallregels definiëren die internetbronnen op hun virtuele netwerken kunnen beschermen.
  • Firewallregels definiëren die netwerkverkeer tussen virtuele tenant-netwerken bij hun serviceprovider en hun on-premises netwerken kunnen isoleren en beschermen.
  • Firewallregels definiëren die verkeer tussen virtuele machines op hetzelfde L2-virtuele subnet kunnen beschermen, maar ook verkeer tussen virtuele machines op verschillende L2-virtuele subnetten.

6.2.3.12 Netwerkbeveiligingsgroepen

Een netwerkbeveiligingsgroep (NSG) bevat een lijst met Access Control List (ACL)-regels die netwerkverkeer naar uw virtuele machines in een virtueel netwerk toestaan of blokkeren. U kunt Nsg’s koppelen aan subnetten of afzonderlijke virtuele machines binnen een subnet.

Wanneer u een NSG aan een subnet koppelt, zijn de ACL-regels van toepassing op alle virtuele machines in dat subnet. U kunt netwerkverkeer verder beperken tot een afzonderlijke virtuele machine door een NSG rechtstreeks aan die virtuele machine te koppelen.